Érintett rendszerek
BlackBerry Enterprise Server for DominoBlackBerry Professional Software
BlackBerry Unite!
Research In Motion (RIM)
Érintett verziók
Research In Motion (RIM) BlackBerry Enterprise Server for Domino 4.1 SP3 (4.1.3) - 4.1 SP6 (4.1.6)
Research In Motion (RIM) BlackBerry Professional Software 4.1 SP4 (4.1.4)
Research In Motion (RIM) BlackBerry Unite! 1.x
Összefoglaló
A BlackBerry Enterprise Server és a BlackBerry Unite! néhány sérülékenységét jelentették, melyet kihasználva támadók feltörhetik a felhasználó rendszerét.
Leírás
A BlackBerry Enterprise Server és a BlackBerry Unite! néhány sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók feltörhetik a felhasználó rendszerét.
A sérülékenységeket ismeretlen hibák okozzák a BlackBerry Attachment Service PDF distiller komponensében. A sérülékenységek kihasználhatóak a memória felülírására, mikor egy e-mail, egy speciálisan erre a célra készített PDF dokumentumot tartalmaz, amit megnézésre megnyitunk.
- A BlackBerry Attachment Service PDF distiller komponens, PDF fájlok adatfolyamaink vizsgálatakor jelentkező, határhibáját kihasználva egy különlegesen kialakított PDF fájllal halom túlcsordulás idézhető elő.
- A BlackBerry Attachment Service PDF distiller komponens, PDF fájlok adatfolyamaink vizsgálatakor jelentkező, logikai hibáját kihasználva egy különlegesen kialakított PDF fájllal elérhető a kezdőérték nélküli memória használata.
Sikeres kihasználás esetén tetszőleges kód futtatása lehetséges, egy különlegesen kialakított PDF dokumentumot tartalmazó email melléklet megnyitásakor.
A sérülékenységeket a következő termékekben és verziókban jelentették:
- BlackBerry Enterprise Server 4.1 Service Pack 3-tól (4.1.3) a 4.1 Service Pack 6-ig (4.1.6)
- BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4)
- BlackBerry Unite! 1.0-nál korábbi verziói Service Pack 3-al (1.0.3) bundle 28
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.blackberry.com
Gyártói referencia: www.blackberry.com
SECUNIA 33534
CVE-2009-0176 - NVD CVE-2009-0176
CVE-2009-0219 - NVD CVE-2009-0219