Une faille dans les serveurs Blackberry

Blackberry vient de publier une alerte relative à une faille logicielle dans certains composants de son serveur d’entreprise Blackberry Enterprise Server (BES), «chargés du traitement des images TIFF pour leur affichage sur les smartphones» de la marque. La faille toucherait Blackberry Mobile Data System (MDS), qui assure le traitement des images sur les pages Web, Messaging Agent, qui fait de même pour les messages électroniques, et Collaboration Service, qui assure les mêmes fonctions pour les messages instantanés.

La faille est susceptible de permettre à «un attaquant d’accéder et d’exécuter du code sur le BES. En fonction des privilèges disponibles sur le compte utilisateur configuré pour l’exécution du BES, l’attaquant pourrait également accéder à des parties non-segmentées du réseau ».

Pour exploiter la faille, précise Blackberry, «un attaquant doit créer une page Web dédiée puis persuader un utilisateur de smartphone de cliquer vers un lien conduisant à cette page. L’attaquant peut fournir le lien à l’utilisateur par e-mail ou message instantané ». A ce jour, le canadien assure «ne pas être au courant d’attaques visant les clients BES ». Il leur recommande d’appliquer la mise à jour BES 5.0.4 MR2, une mise à jour intermédiaire distribuée précisément pour combler la faille.