S . G . D . N
Direction centrale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 18 juillet 2008
No CERTA-2008-AVI-370 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité dans des
produits BlackBerry
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-370 |
| Titre |
Vulnérabilité dans
des produits BlackBerry |
| Date de la première
version |
18 juillet 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletins de
sécurité BlackBerry KB15766 et
KB15770 du 10 et 17 juillet 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
Les versions antérieures aux suivantes sont
vulnérables :
- BlackBerry Unite! 1.0.1 bundle 36 ;
- BlackBerry Entreprise Server 4.1.6.
Une vulnérabilité dans le traitement des
pièces jointes au format PDF permet
l'exécution de code arbitraire à distance sur la
machine exécutant BES ou Unite!.
Le logiciel BlackBerry Attachement Service pour
BlackBerry Entreprise Server permet de
pré-traiter un certain nombre de formats de
pièces jointes afin de les rendre visualisables sur les
terminaux mobiles. Une vulnérabilité affecte le
traitement des fichiers au format PDF. Un fichier
spécifiquement créé permet
l'exécution de code arbitraire sur le serveur de
pré-traitement lors de sa visualisation par un
utilisateur. Le logiciel Unite! est installé
par des utilisateurs voulant synchroniser localement leurs
données. Il fonctionne selon le même principe de
pré-traitement et présente la même
vulnérabilité.
Se référer au bulletin de sécurité
de l'éditeur pour l'obtention des correctifs (cf.
section Documentation).
- 18 juillet 2008
- version initiale.
CERTA
2008-07-18