(+84) 463.28.7979

BlackBerry Enterprise Servers dễ bị tấn công dựa trên hình ảnh TIFF


Nếu bạn là một người dùng mạng BlackBerry Enterprise, đây là cái mà bạn cần phải cẩn thận về điều đó. Người sử dụng BlackBerry Enterprise Server (BES) đã được cảnh báo rằng có một sự tấn công dựa trên hình ảnh có thể cho phép tin tặc truy cập và thực thi mã trên các máy chủ được sử dụng để hỗ trợ người sử dụng Smartphone của RIM

BlackBerry Enterprise Servers vulnerable to TIFF Image based Exploit

Lỗ hổng được đánh giá ở mức độ khá nghiêm trọng và dễ bị khai thác từ kết quả của việc xử lý các tập tin hình ảnh trong các BlackBerry Enterprise Servers.

Kịch bản khai thác: Một người viết một mã số độc hại đặc biệt và sau đó nhúng nó vào một tập tin hình ảnh TIFF. Tiếp theo người này sẽ cố gắng thuyết phục được một số người sử dụng Blackberry (có điện thoại được kết nối với một BES) để xem tập tin TIFF.

Ngay sau khi người dùng tải tập tin hình ảnh về điện thoại, đoạn code đó sẽ chạy trên máy chủ doanh nghiệp Blackberry hoặc mở ra một cửa hậu trong mạng hoặc nó cũng là nguyên nhân gây ra sụp đổ hoàn toàn trong mạng.

RIM khuyến cáo rằng các khách hàng bị ảnh hưởng nên cập nhật phiên bản phần mềm mới nhất hiện có để được bảo vệ đầy đủ từ các lỗ hổng.

Khai thác sử dụng một hình ảnh TIFF có chứa mã độc hại nguy hiểm có thể được gắn vào một liên kết trong một email hoặc gắn trực tiếp vào nó. Tùy thuộc vào những đặc quyền có sẵn cho tài khoản dịch vụ BlackBerry Enterprise Server, kẻ tấn công cũng có thể có thể mở rộng việc tiếp cận đến các bộ phận khác không nằm trong phân đoạn của mạng.

BlackBerry Enterprise Server phiên bản Express 5.0.4 cho Microsoft Exchange và IBM Lotus Domino và BlackBerry Enterprise Server phiên bản 5.0.4 cho Microsoft Exchange, IBM Lotus Domino và Novell GroupWise chỉ bị ảnh hưởng

Theo THN

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>