Auf dem CCC-Kongress in Berlin hatten Ende letzten Jahres Aktivisten der Gruppe Phenoelit etliche Mängel in den RIM-Produkten vorgestellt. Research in Motion (RIM) hat nun für vier der bekannt gewordenen Sicherheitslücken in seinen Blackberry-Geräten und -Diensten Patches und Workarounds verfügbar gemacht.
Für den durch manipulierte PNG-Dateien provozierten Buffer-Overflow im Blackberry Enterprise Server (BES) stellt der Hersteller nach eigenen Angaben einen Patch bereit. In seinem Advisory verlinkt RIM auf den Download-Bereich und empfiehlt die Installation des Hotfix 1 für Service Pack 3. Der ist allerdings schon etwas älter, zum Download steht auch schon Hotfix 2 von Anfang Dezember zur Verfügung. Ein Nachfrage an RIM, welcher Hotfix die Lücke nun schließt, blieb bislang unbeantwortet. Als Workaround schlägt RIM vor, PNG als unterstützte Typen auf dem Server und Handhelds zu deselektieren.
Um ein ähnliches Problem mit TIFF-Dateien zu verhindern, empfiehlt RIM, Mailanhänge mit diesen Dateien im BES zu überspringen – einen Patch für den Fehler gibt es nicht. Wirklich sicher sei jedoch nur, wer den so genannten Image Distiller vollständig abschalte und somit auf Bilder in E-Mails verzichte.
Für einen weiteren Bug, der das Installieren manipulierter Java-Anwendungen auf Endgeräten erlaubt, reicht laut RIM ein Upgrade des BES auf Version 4.0.2 aus. Um in den Genuss dieser Version zu gelangen, soll man sich laut RIM mit seinem Service Provider in Verbindung setzen. Ein Download auf den RIM-Seiten wird nicht angeboten.
Für eine Schwachstelle im Server Relay Protokoll (SRP), die einem Angreifer eine Denial-of-Service-Attacke ermöglicht, hat RIM bislang keine hundertprozentige Lösung parat. Als Workaround empfiehlt das Advisory, den Blackberry-Router in eine entmilitarisierte Zone (DMZ) der Firewall zu verlegen, um zumindest Angriffe von außen unmöglich zu machen.
(dab/c't)/
(ck/iX)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/67989
Gr33ts
@Jacki:agl: