Kritische Lecks im Blackberry Enterprise Server gestopft

Blackberry-Hersteller RIM schließt mit einem aktuellen Patch fünf Sicherheitslücken im Blackberry Enterprise Server. Die Schwachstellen lassen sich nach Angaben des Herstellers dazu ausnutzen, Schadcode einzuschleusen und die Kontrolle über einen Blackberry Server zu übernehmen.

Konkret betroffen von dem Problem sind Blackberry Enterprise Server 5.0.1 bis 5.0.3 MR2 für Microsoft Exchange und IBM Lotus Domino sowie Blackberry Enterprise Server 4.1.7 und 5.0.1 bis 5.0.1 MR3 für Novell GroupWise.

Das Update steht auch für Blackberry Enterprise Server Express 5.0.1 bis 5.0.3 für Microsoft Exchange und Blackberry Enterprise Server Express 5.0.2 und 5.0.3 für IBM Lotus Domino zur Verfügung. Die Smartphones des kanadischen Herstellers sowie das Betriebssystem Blackberry OS sind nicht betroffen.

Der Fehler hängt mit der Verarbeitung von PNG- und TIFF-Bildern zusammen und steckt im Blackberry MDS Connection Service und im Blackberry Messaging Agent. Angreifer haben laut RIM zwei Möglichkeiten.

Entweder sie bringen ein offizielles Opfer dazu in einer E-Mail oder einer Kurznachricht auf einen Link zu klicken, der zu einer manipulierten Webseite führt. Oder aber sie bauen eine manipulierte PNG- oder TIFF-Datei in eine E-Mail und schicken diese an einen Nutzer eines Blackberry-Smartphones. In dem Fall müsse das Opfer weder eine E-Mail öffnen, noch auf einen Link klicken, damit ein Hacker Zugriff auf einen Blackberry-Server erhält.

RIM hatte erst Mitte Juli eine kritische Lücke im Blackberry Enterprise Server stopfen müssen.