BlackBerry исправила в BB10 уязвимость, связанную с переполнением буфера

В июне 2013 команда modzero сообщила BlackBerry (точнее, её команде, которая отвечает за реагирование на проблемы с безопасностью) об уязвимости, связанной с переполнением буфера – она была найдена в версиях BB10, вышедших до 10.2.0.1055. Кроме того, modzero не только сообщила о находке, но и рассказала о том, в чём, собственно, проблема. На данный момент известно, что BlackBerry «запатчила» эту уязвимость – заплатка присутствует на версиях 10.2.0.1055 и выше.

Уязвимость, связанная со стеком и переполнением буфера, была обнаружена в сервисе qconnDoor, который поставляется вместо с ОС BlackBerry 10. Сервис qconnDoor используется в BlackBerry 10 для предоставления разработчикам доступа к смартфону – для дистанционного исправления багов и работы с программной оболочкой.

Воспользовавшись этой уязвимостью, злоумышленник может отключить работу сервиса qconnDoor на смартфоне BlackBerry. Кроме того, у хакера есть возможность ввести в систему собственный код – даже в том случае, если подобные привилегии есть только у root-пользователя (суперпользователя).

Есть несколько способов, с помощью которых хакер может воспользоваться этой уязвимостью:

• Через Wi-Fi. Хакер создаёт специальное сообщение и отсылает его сервису qconnDoor на смартфоне, который подключён к той же Wi-Fi сети. До атаки на смартфоне пользователя должен быть включён режим разработки.
• Через USB. Хакер получает физический доступ к смартфону, а зачем отсылает специальное сообщение сервису qconnDoor через USB.

Согласно общей системе оценки уязвимостей (Common Vulnerability Scoring System или CVSS), эта уязвимость обладает оценкой в 7,9 балла. Описание уязвимости можно прочесть по ссылке идентификатора базы данных CVE (Common Vulnerabilities and Exposures, т.е. «распространённые уязвимости и слабые места») – CVE-2014-1468.

Если ваш смартфон работает на версии ОС 10.2.0.1055 и выше, то его эта проблема не коснётся. Кроме того, не сообщалось ни об одной атаке, в которой использовалась эта уязвимость. Однако если на вашем смартфоне стоит версия BB10 ниже 10.2.0.1055, то вам, вероятно, нужно обновить ОС как можно быстрее – во избежание неприятностей.