domingo, 17 de noviembre de 2013

Vulnerabilidad en BlackBerry Link

Se ha anunciado una vulnerabilidad en BlackBerry Link, que podría permitir a usuarios remotos y locales obtener el control de los sistemas afectados.

BlackBerry Link, es el sustituto de BlackBerry Desktop, el software encargado de gestionar y sincronizar el contenido entre los dispositivos BlackBerry 10 y el ordenador. También permite y facilita la transferencia de archivos y configuraciones desde dispositivos anteriores.

Se ven afectadas las instalaciones de BlackBerry Link para Windows versiones 1.0.1.12 a 1.2.0.28 y BlackBerry Link para Mac OS versiones 1.0.1 (build 6) a 1.1.1 (build 35). En concreto, la vulnerabilidad reside en el componente "Peer Manager" de las versiones afectadas. Este módulo, que hace uso de WebDAV, es el encargado de proporcionar el acceso remoto a archivos, lo que permite a los usuarios del smartphone acceder a carpetas específicas de su ordenador

http://es.blackberry.com/software/desktop/blackberry-link.html
A esta vulnerabilidad, descubierta por Tavis Ormandy y Ollie Whitehouse, se le ha asignado el CVE-2013-3694 y puede tener diferentes efectos según el escenario. Puede permitir una elevación local de privilegios, por la que un usuario local con privilegios restringidos podría acceder a los privilegios de cualquier otra cuenta de usuario que ejecute "Peer Manager".

La vulnerabilidad también permite lograr la ejecución remota de código, incluso con privilegios elevados. Para explotar esta vulnerabilidad el usuario debe pulsar sobre un enlace específicamente construido o acceder a una página web maliciosa.

BlackBerry ha publicado versiones actualizadas para corregir esta vulnerabilidad: BlackBerry Link para Windows versión 1.2.1.31 y BlackBerry Link para Mac OS version 1.1.1 (build 39). Disponibles desde:
http://es.blackberry.com/software/desktop/blackberry-link.html

Más información:

SRT 2013-012 Vulnerability in remote file access feature impacts BlackBerry Link
www.blackberry.com/btsc/KB35315



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017