BlackBerry thông báo về bản vá lỗi tràn bộ đệm trên OS 10.1

[qldt2013]

Lỗi bảo mật "

tràn bộ đệm" (

Buffer overflow) là một lỗi mà có thể giúp kẻ gian khai thác để chiếm quyền kiểm soát thiết bị của bạn. Bộ phận chịu trách nhiệm về bảo mật của BlackBerry (BlackBerry Security Incident Response Team) vừa thông báo cho biết lỗi này tồn tại ở các bản OS cũ hơn bản 10.2.0.1055, bản vá lỗi đã được BlackBerry cung cấp từ phiên bản 10.2.0.1055 trở lên.

Như vậy, nếu ai đang dùng các phiên bản OS 10.1 thì hãy nhanh chóng cập nhật lên bản OS mới nhất để tránh bị khai thác lỗi bảo mật này. Lỗi này không liên quan đến lỗ hổng Heartbleed của OpenSSL nhé

Tuy nhiên, để khai thác được lỗ hổng này, kẻ gian phải "trên tay" thiết bị của bạn để thực hiện tương tác một số bước và phải bật chế độ Developement Mode trước khi có thể "điều khiển được từ xa".

A stack-based buffer overflow vulnerability exists in the qconnDoor service supplied with affected versions of BlackBerry 10 OS. The qconnDoor service is used by BlackBerry 10 OS to provide developer access, such as shell and remote debugging capabilities, to the smartphone.

Successful exploitation of this vulnerability could potentially result in an attacker terminating the qconnDoor service running on a user's BlackBerry smartphone. In addition, the attacker could potentially execute code on the user’s BlackBerry smartphone with the privileges of the root user (superuser).

An attacker can exploit this vulnerability in the following ways:

• Over Wi-FiIn order to exploit this vulnerability, an attacker must send a specially crafted message to the qconnDoor service on a smartphone located on the same Wi-Fi network. The smartphone user must have also enabled development mode on the smartphone before an attack.
• Over USBIn order to exploit this vulnerability, an attacker must gain physical access to a smartphone and then send a specially crafted message to the qconnDoor service over USB.

This vulnerability has a Common Vulnerability Scoring System (CVSS) score of 7.9. View the linked Common Vulnerabilities and Exposures (CVE) identifier for a description of the security issue that this security advisory addresses.

Theo BlackBerry, hiện chưa có ai bị tấn công lợi dụng lỗi bảo mật này.

Theo: CB & KB

View more random threads:

• Thương vụ mua lại SecuSmart của BlackBerry và thỏa thuận "chống gián điệp" với chính phủ Đức
• [Video] Cùng xem các tính năng mới trên phiên bản OS 10.3
• Alec Saunders sáng tác thêm một bài hát mang tên 'BlackBerry 10 At Last'
• Nhà phát triển Devcellent đang có đợt khuyến mại giảm giá hấp dẫn cho các ứng dụng của họ
• Nhà mạng T-Mobile cho phép khách hàng sử dụng BBM miễn phí
• Nhà mạng TELUS (Canada) ngừng phân phối BlackBerry Torch 9810.
• BlackBerry Passport sử dụng chip Snapdragon 800 hay 801?
• Khu đô thị cao cấp tại Mekong Centre
• BBM Channels cập nhật v8.0.0.59 cho BBOS & v10.2.20.5 cho BB10 trên Beta Zone
• Chiếc BlackBerry Z3 với chữ ký của CEO John Chen