This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

黑莓警告TIFF漏洞,该漏洞允许恶意软件运行在企业级服务器

Filed Under: BlackBerry, Denial of Service, Featured, Malware, Mobile, Vulnerability

黑莓企业服务器如果你是负责管理贵公司的工作人员所使用的黑莓手机,有一些项重要的安全消息。

根据上周公布的一个黑莓安全咨询,存在的安全漏洞,可能允许远程黑客运行恶意代码的黑莓企业服务器(BES)软件运行的许多企业。

的缺陷,先后被评为“高严重性”,包括BlackBerry的企业软件如何处理TIFF图像文件,网页,电子邮件,和即时消息。

根据黑莓的咨询

存在漏洞的BlackBerry MDS连接服务,并在BlackBerry Messaging Agent进程TIFF图像渲染的BlackBerry智能手机上。

成功利用这些漏洞可能允许攻击者获得了BlackBerry Enterprise Server上执行代码。

根据配置的BlackBerry Enterprise Server服务帐户的权限,攻击者可能还可以扩大到其他非分割的网络。

总之,恶意黑客可以创建一个boobytrapped的TIFF图像文件,并招BlackBerry智能手机用户去访问一个网页,载有图象,或直接到电子邮件或即时消息中嵌入的恶意图像。

根据黑莓的BlackBerry Messaging Agent缺陷不甚至不需要用户点击一个链接或查看电子邮件的攻击得逞。

的风险是,通过利用该缺陷,黑客可能能够种植恶意代码对你的BlackBerry Enterprise Server的远程访问打开一个后门。

根据您的网络基础设施的设立 - 入侵者可能能够看到您的网络的其他部分,窃取信息。

另外,黑客的代码可能会导致您的系统崩溃 - 也许是中断通信。

重要的是要强调的是,这些都不是在BlackBerry智能手机上的漏洞自己。像其他黑莓相关的漏洞 ,我们已经看到在过去,潜在的攻击是针对企业所使用的BlackBerry Enterprise Server。

随着越来越多的企业都意识到了有针对性的攻击的明显意图窃取数据和间谍活动的风险 ,这种脆弱性显然是一个严重的问题。

好消息是,黑莓还没有收到任何报告的攻击针对企业客户的,但很明显,它仍然是一个很好的主意为受影响的用户尽快更新他们的软件。该公司已公布的解决方法,这些企业可能无法快速地更新他们的BlackBerry Enterprise Server的安装。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog at https://grahamcluley.com, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Follow him on Twitter at @gcluley