Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : vulnérabilités multiples dans BlackBerry Enterprise Server

janvier 2009 par HSC

Date : 14-01-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Source : iDefense

Objet : Blackberry

Description :

Le service "BlackBerry Attachment Service PDF Distiller", utilisé dans BlackBerry Enterprise Server pour convertir les documents PDF à destination des terminaux BlackBerry, souffre de trois vulnérabilités dans son module d’analyse des fichiers PDF.

Un utilisateur malveillant peut ainsi forger un document PDF spécifiquement pour exploiter la vulnérabilité, et l’envoyer en pièce jointe à un destinataire disposant d’un terminal BlackBerry. La pièce jointe sera stockée sur le BlackBerry Enterprise Server et à la demande du terminal client, pourra être convertie par le service "BlackBerry Attachment Service PDF Distiller" puis envoyée au terminal.

L’exploitation de la vulnérabilité dans le service "BlackBerry Attachment Service" permettrait l’exécution de code arbitraire à distance avec les droits "SYSTEM" sur le serveur hébergeant le service.

Les trois vulnérabilités proviennent d’une erreur d’analyse des flux de données dans les fichiers PDF, déclenchant des débordements sur le tas (heap overflow).

Références :

-  http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=764

- http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=765

- http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=766

- http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&extern alId=KB17118

- http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&extern alId=KB17119




Voir les articles précédents

    

Voir les articles suivants