Faille de sécurité pour le système email du BlackBerry
Problème de gestion des images jointes
La société de recherche en sécurité Phenoelit vient de révéler une faille de sécurité dans le système de gestion des images jointes au courrier, chez les clients BlackBerry et leur serveur. La vulnérabilité pourrait permettre à un pirate de déclencher à distance un code malin pour contrôler le client, ou pour intercepter les mails en transit sur le serveur.Le danger proviendrait d'images au format TIFF jointes aux mails, spécialement mises en forme pour contenir un code malin qui se déclencherait à l'ouverture du fichier, selon le communiqué de sécurité US-CERT. De son côté, RIM (Research In Motion) ne parle que d'une vulnérabilité à une attaque DoS (Denial of Service) qui pourrait empêcher le système de pièces jointes de fonctionner.
Selon le communiqué de RIM donc, il suffira à l'administrateur d'empêcher l'utilisateur de visionner des pièces jointes au format TIFF, en supprimant ce format de la liste des autorisations du serveur mail de Research In Motion. Mais selon FX, l'auteur de la découverte, le problème est légèrement plus profond, et RIM préférerait y entretenir un flou artistique le temps de trouver une solution et une mise à jour adéquate.
Selon FX, Felix Lindner de son vrai nom, le problème principal provient aussi de la manière dont les serveurs BlackBerry gèrent les images au format PNG (Portable Network Graphics). Ce problème n'existe plus dans la toute dernière version du logiciel serveur des Blackberry, mais il est présent dans toutes les versions, de la 4.0 à la 4.0.1.9. Ainsi, un pirate pourrait persuader un utilisateur d'ouvrir un fichier joint TIFF ou PNG, et déclencher à distance un code arbitraire qui prendrait le contrôle du serveur, pour intercepter par exemple tout le courrier en transit.
Les responsables de chez RIM ne se sont pas encore clairement exprimés à ce sujet, il devraient néanmoins sortir un correctif complet très prochainement, ayant déjà reconnu la faiblesse de la gestion des images TIFF officiellement.
Bruno Cormier
le 4 janvier 2006 à 09:53
(11 914
lectures)
Actualités et brèves relatives
- 30 / 09 / 2005 : Blackberry exporte ses logiciels sur un portable Nokia
- 28 / 09 / 2005 : Du processeur Intel dans de prochains BlackBerry
- 20 / 09 / 2005 : SCO se lance dans l'informatique mobile
- 01 / 08 / 2005 : Un mini-clavier QWERTY à fixer sur la manette de la Xbox
- 20 / 04 / 2005 : AOL, Microsoft et la messagerie professionnelle mobile
- 10 / 03 / 2005 : Logitech et le stylo magique
- 14 / 11 / 2004 : PDA : Palm cède sa première place à Microsoft
- 04 / 08 / 2004 : Téléphone Siemens SK65 : un design très sympa !
