Sistemas Afectados

1. Descripción

   FX reportó una vulnerabilidad en BlackBerry Enterprise Server, que puede explotarse por personas maliciosas para ocaisonar una negación de servicio (DoS) y posiblemente comprometer un sistema vulnerable.

   La vulnerabilidad se origina en un error no específicado dentro de "BlackBerry Attachment Service" cuando dibuja una imagen PNG adjunta maliciosa. Esto puede explotarse para ocasionar un desbordamiento de memoria en el segmento de Heap, con lo que los usuarios de BlackBerry no podran ver los archivos adjuntos y podría permitir la ejecución de código arbitrario dentro del servidor.

   Una explotación exitosa requiere que el usuario observe un PNG adjunto malicioso con BlackBerry.

   Se reportó la vulnerabilidad en las versiones 4.0 hasta el Service Pack 2.

2. Impacto

   Negación de servicio (DoS).

   Acceso al sistema.

3. Solución

   Aplicar el Service Pack 3 a BlackBerry Enterprise Server 4.0
   https://www.blackberry.com/Downloads/

   BlackBerry Enterprise Server 4.0 para Microsoft Exchange:
   Aplicar Service Pack 3, después instalar Service Pack 3, Hotfix 1.

   BlackBerry Enterprise Server 4.0 para IBM Lotus Domino/Novell GroupWise:
   Aplicar Service Pack 3.

4. Apéndices

   http://www.blackberry.com/knowledgecenterpublic/livelink.exe/fetch/2000/8021/728075/728850/728215-nodeid=1167794
   http://www.kb.cert.org/vuls/id/646976

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Floriberto López Velázquez (flopez at seguridad dot unam dot mx)