RIM ha alertado a sus usuarios del descubrimiento de nuevas vulnerabilidades en el software BlackBerry que utilizan tanto su dispositivo como el servidor empresarial. La compañía emitió ayer dos boletines en los que explica el problema. En el caso del smartphone, RIM apunta a ataques de denegación de servicio (DoS) parciales, en los que las webs con código malicioso escondido podrían “congelar” el navegador del BlackBerry

y dejarlo inactivo hasta que se reinicie por sí mismo o se encienda de nuevo el teléfono. Este fallo está catalogado como de severidad “media” en el sistema de valoración de vulnerabilidades CVSS.

Para solventar el problema, RIM ha lanzado una actualización de software para terminales BlackBerry. El fallo no requiere exactamente una solución urgente, pues lo peor que le puede pasar a un usuario es que su terminal se quede colgado. No obstante, los usuarios de terminales BlackBerry con software entre las versiones 5.0.0 y 6.0.0 deberían visitar las webs de sus operadores o BlackBerry.com para actualizaciones de software. Las versiones anteriores a 5.0.0 no están soportadas y las posteriores a la 6.0.0 no se ven afectadas, según RIM.

El segundo aviso de seguridad de RIM apunta a una brecha en el componente PDF Distiller de BlackBerry Enterprise Server (BES), de la que ya había avisado en otras ocasiones. Tal y como describe la compañía, “la vulnerabilidad podría causar errores por sobrecarga del buffer, permitiendo la ejecución de código arbitrario en los equipos que alojan BlackBerry Attachment Service” y produciendo fallos en el software blackberryun ataque en el proceso de renderización del PDF antes de que se complete. Con todo, para que suceda este ataque, el usuario de BlackBerry tiene que abrir un archivo PDF especialmente manipulado en un smartphone asociado a una cuenta de usuario en un servidor empresarial BlackBerry. El archivo PDF puede ir adjunto en un mensaje de correo electrónico o el usuario puede descargarlo de una web utilizando el navegador de su BlackBerry.

De acuerdo con RIM, cualquier administrador responsable de sistemas full BES, BES Express o BlackBerry Professional Software for Microsoft Exchange, IBM Lotus Domino o Novell GroupWise, debería visitar la web de descargas para el servidor y ver si hay una actualización disponible.