BlackBerry ha publicado detalles de vulnerabilidades críticas en componentes de sus servidores empresariales BlackBerry Enterprise Server (BES). Los huecos permiten a los atacantes ejecutar código arbitrario sobre los sistemas ejecutados en los servidores empresariales de BlackBerry.

La falla afecta el servicio de conexión MDS de BlackBerry y el agente de mensajes de BlackBerry cuando están procesando imagenes TIFF, para renderizarlos a teléfonos inteligentes BlackBerry.

La falla del servicio de conexión MDS requiere que un atacante genere una página web y persuada al usuario del teléfono de ver esa página y dar clic en la liga. La falla con el agente de mensajería es posible si un atacente monta una imagen específicamente modificada en un correo electrónico para un usuario del servidor empresarial; no es necesario que el usuario de clic o intente ver el mensaje para que el ataque sea efectivo.

Los bugs CVE-2012-2088 y CVE-2012-4447 existen en la librería libtiff y son solucionados en BES 5.0.4 MR2.

Las versiones afectadas son BES Express 5.0.2 a la 5.0.4 para Microsoft Exchange y Lotus Domino 5.0.2 a la 5.0.4 y BES para Novell Groupwise, 5.0.1 a la 5.0.4, al igual que las anteriores versiones que ya no están soportadas por BlackBerry. Hay actualizaciones de seguridad provisional disponibles, aunque también es posible actualizar a la version 5.0.4 MR2 que incluye soluciones para este y otros problemas. BlackBerry también ofrece algunas soluciones que incluyen remover la vulnerabilidad de image.dll que controla y bloquea el manejo de imágenes en línea.