RIM のサーバー製品に、サービス不能化攻撃を許す脆弱性

Research In Motion (RIM) は3日、サーバー製品『BlackBerry Enterprise Server』(BES) にサービス不能化攻撃を許す脆弱性があると発表した。BES とは、ハンドヘルド端末『BlackBerry』により、Eメールなどさまざまな企業内情報にアクセスできるサーバーだ。

RIM (NASDAQ:RIMM) が顧客サポートサイトに掲載した情報によると、問題の脆弱性は、細工した TIFF 形式の添付画像ファイルを受け取ると、ヒープオーバーフローが発生し、添付ファイル参照サービス『Attachment Service』が機能不全を起こすものという。

なお、メッセージの送受信、通話、インターネットの閲覧、BlackBerry のアプリケーションを介した社内ネットワークへの接続など、Attachment Service を除くサービスに影響は及ばないと RIM は述べている。

セキュリティ会社 Secunia が2日に公開したセキュリティ勧告によると、BES はさらに『Server Routing Protocol』(SRP) の処理にも脆弱性を抱えており、細工したパケットにより同サーバーと『BlackBerry Router』間の通信を阻害するサービス不能化攻撃を受ける恐れがあるという。なおこちらの脆弱性についても、RIM は脆弱性情報を公開済みだ。

Secunia は BES が持つ2つの脆弱性について、危険度を5段階中3番目の「中程度」としている。

RIM は両脆弱性とも確認しており、顧客サポートサイトに掲載した脆弱性情報で対処法を示したものの、直接的な脆弱性対応については、今後のリリースで行なうと述べている。