BlackBerry PlayBook 平板電腦軟體隨附的 Adobe Flash Player 版本中存在弱點

文件 ID:  KB27240

類型: 安全性公告

初版發行日期:

11-06-2011

 

上次修改時間: 12/12/2011

 

受影響產品:

  • BlackBerry® PlayBook

搜尋 PlayBook 知識庫:

Collapse產品
Collapse受影響的軟體
  • BlackBerry® PlayBook™ 平板電腦軟體 1.0.5.2304 版及更舊版本隨附的 Adobe® Flash® Player 版本
Collapse不受影響的軟體
  • BlackBerry PlayBook 平板電腦軟體 1.0.5.2342 版或更新版本
CollapseBlackBerry 智慧型手機和 BlackBerry 裝置軟體是否受影響?
否。
Collapse問題嚴重性

此問題存在於 Adobe Flash Player 中,且會影響支援 Adobe Flash 的系統。Adobe 建議受影響的使用者更新其 Adobe Flash Player 安裝。請閱讀適用於 Adobe Flash Player 的安全性更新 - Adobe 安全性公告 APSB11-13,以瞭解問題的完整細節。

此弱點的共通弱點評分系統 (CVSS) 分數為 4.3。

Collapse概觀

已識別 Adobe Flash Player 中存在會影響 BlackBerry PlayBook 平板電腦軟體的弱點。

Adobe Flash Player 是一項跨平台的瀏覽器型應用程式執行階段。Adobe Flash Player 是由 Adobe 建立並提供支援,隨附於 BlackBerry PlayBook 平板電腦軟體中。

Collapse此公告的讀者
  • BlackBerry PlayBook 平板電腦使用者
  • 在企業中部署 BlackBerry PlayBook 平板電腦的 IT 系統管理員
Collapse此軟體修正程式的適用者
  • BlackBerry PlayBook 平板電腦使用者
  • 在企業中部署 BlackBerry PlayBook 平板電腦的 IT 系統管理員
Collapse建議

完成此公告記錄的解決方法動作。

最佳實務作法

RIM 建議 BlackBerry PlayBook 平板電腦使用者不要點選從不信任來源接收的電子郵件連結,或不信任來源會將其導向的網頁內連結。

Collapse參考資料

CVE® 識別碼: CVE-2011-2107

Collapse問題

如果 BlackBerry PlayBook 平板電腦使用者瀏覽載入 Adobe Flash 內容的蓄意製作網站,此跨網站指令碼弱點可能會遭到利用,在任何網站或網頁郵件提供者上代表該使用者執行動作。

若要成功利用此弱點,攻擊者必須在獨立的 Adobe Flash (.swf) 應用程式中製作 Adobe Flash 內容,或在網站中製作內嵌 Adobe Flash 內容,然後引誘使用者按一下電子郵件訊息或網頁上的內容連結以存取 Adobe Flash 內容。使用者在 BlackBerry PlayBook 平板電腦瀏覽器中所存取的網頁郵件帳號,可能會收到這類電子郵件訊息。

Collapse影響

成功利用此弱點可能會造成攻擊者在 BlackBerry PlayBook 平板電腦使用者不知情的情況下,利用洩露網站的瀏覽器作業階段中的機密資訊。Adobe 回報此弱點針對 Adobe Flash 內容的使用者進行主動鎖定式攻擊。

RIM 尚未發現有針對 BlackBerry PlayBook 平板電腦使用者的任何攻擊或鎖定式攻擊。

攻擊防護措施

RIM 建議所有使用者套用可用的軟體更新,以充分保護所擁有的 BlackBerry PlayBook 平板電腦。不過,在套用軟體更新前,瞭解下列攻擊防護措施可能有助於限制遭受攻擊的風險。

對所有使用者而言,要減輕此問題,前提必須是:攻擊者引誘使用者開啟 Adobe Flash 應用程式,或按一下電子郵件訊息中惡意製作的連結,來存取惡意製作的 Adobe Flash 內容。攻擊者無法強迫使用者存取內容或略過使用者選擇存取內容之要求。

此弱點幾乎都是藉由偽造跨網站要求來達成 (有一種情況是攻擊者在使用者經過驗證的網站上,使用合法的使用者憑證來代表使用者執行不想要的動作)。使用稱為「沙箱機制 (Sandboxing)」的技術會嚴格限制 BlackBerry PlayBook 平板電腦網頁瀏覽器的功能和權限。沙箱機制 (Sandboxing) 限制對 BlackBerry PlayBook 平板電腦,或使用 BlackBerry Bridge 的平板電腦所配對的 BlackBerry 智慧型手機所儲存的企業資料,造成機密或整合性影響之可能性。如果攻擊者在使用者使用 BlackBerry Bridge 應用程式時成功利用此弱點,攻擊者即可在企業網路內的網站上,使用合法的使用者憑證來執行不想要的動作。

Collapse解決方法

RIM 已發行 BlackBerry PlayBook 平板電腦軟體 1.0.5.2342 版,可在受影響的 BlackBerry PlayBook 平板電腦版本上解決此 Adobe Flash Player 弱點。請依照 Adobe 建議,將 BlackBerry PlayBook 平板電腦軟體更新至 1.0.5.2342 版或更新版本,以將更新套用至 Adobe Flash Player。 

透過存取軟體更新通知來進行更新

BlackBerry PlayBook 平板電腦會使用通知來告知您有關軟體更新的最新消息。當有新的軟體更新通知時,通知會出現在 BlackBerry PlayBook 狀態功能區的右上角。

  1. 只要檢視通知並依照步驟操作,即可存取最新的軟體更新通知並完成軟體更新。

手動檢查軟體更新。

  1. 在首頁畫面上,點選 Options (選項) 以開啟「Settings」(設定)。
  2. 點選 Software Updates (軟體更新)。
  3. 點選 Check for Updates (檢查更新)。

更新軟體之後,畫面會指出您已安裝 BlackBerry Tablet OS 1.0.5.2342 版或更新版本。

Collapse因應措施

RIM 建議所有使用者套用可用的軟體更新,以充分保護所擁有的 BlackBerry PlayBook 平板電腦。

若客戶無法立即安裝更新或必須執行標準測試及風險分析,則所有因應措施應視為建議採行的暫時措施。RIM 建議無上述需求的客戶可直接安裝此更新以確保系統安全。

對於目前無法升級的使用者,可採取以下措施減輕此風險:在 BlackBerry PlayBook 平板電腦的瀏覽器中,暫時停用所有 Adobe Flash 內容 (在瀏覽器中,點選 Options (選項) > Content (內容),並將 Enable Flash (啟用 Flash) 設為「Off」(關閉))。

重要:在瀏覽器中關閉 Adobe Flash 內容將會影響在部分網頁上檢視內容的能力,可能會產生較差的瀏覽體驗。

使用者升級其 BlackBerry Playbook 平板電腦軟體後,即可在瀏覽器中重新啟用 Adobe Flash 內容 (在瀏覽器中,點選 Options (選項) > Content (內容),並將 Enable Flash (啟用 Flash) 設為「On」(開啟))。

Collapse其他資訊

是否有任何 BlackBerry 客戶已遭受到此弱點攻擊?

RIM 尚未發現有針對 BlackBerry PlayBook 平板電腦使用者的任何攻擊或鎖定式攻擊。

此弱點是否存在於 RIM 的 BlackBerry PlayBook 平板電腦原始程式碼中?

否。此弱點存在於 Adobe Flash Player,此為跨平台的瀏覽器型應用程式執行階段。Adobe Flash Player 由 Adobe 建立並提供支援,隨附於 BlackBerry PlayBook 平板電腦軟體。

BlackBerry PlayBook 平板電腦使用者是否不需執行完整的 BlackBerry 平板電腦 OS 更新,即可更新 Flash Player?

否。Adobe Flash Player 為 BlackBerry Tablet OS 安裝不可或缺的一部分,因此必須一起更新。

系統管理員是否可使用 BlackBerry Enterprise Server IT 原則,停用企業中 BlackBerry PlayBook 平板電腦上的 Adobe Flash Player?

沒有 IT 原則可讓系統管理員停用 BlackBerry PlayBook 平板電腦上的 Adobe Flash Player。

如果透過引誘使用者按一下 BlackBerry PlayBook 平板電腦網頁瀏覽器中的連結而執行攻擊成功,攻擊者是否能存取企業資料?

否。

BlackBerry PlayBook 平板電腦是否會強迫我更新軟體?

否,需要您自行更新軟體。BlackBerry PlayBook 平板電腦會使用通知來告知您有關軟體更新的最新消息,並能讓您輕鬆完成軟體更新。您也可以手動檢查軟體更新。如需更新軟體的步驟資訊,請參閱此公告的<解決方法>一節。

我如何得知正在執行的 BlackBerry 平板電腦 OS 版本?

從首頁畫面中,點選「Settings」(設定) 圖示,點選「About」(關於),再檢視「General settings」(一般設定) 中的「OS Version」(作業系統版本) 欄位。

我已經擁有 BlackBerry 平板電腦 OS 1.0.5 版。是否需要更新軟體?

是的,您需要更新至 1.0.5.2342 版或更新版本才能防範此弱點。

新的 (仍在包裝盒中) BlackBerry PlayBooks 是否受此弱點影響?

否。在初始設定程序中,BlackBerry PlayBook 平板電腦會下載和安裝最新版的 BlackBerry PlayBook 平板電腦 OS,亦即 1.0.5.2342 版或更新版本。所有 BlackBerry PlayBook 平板電腦軟體的後續版本都會包含此弱點的修正程式。

什麼是 CVE?

一般性弱點 (Common Vulnerabilities and Exposures,CVE) 是已知資訊安全性弱點常見名稱 (CVE 識別碼) 的字典,由 MITRE 公司維護。

CVSS

CVSS 是廠商無從驗證的業界開放標準,設計用來表達弱點的嚴重性。CVSS 分數可用來判定組織內的更新部署緊急性。CVSS 分數的範圍從 0.0 (無弱點) 到 10.0 (重大)。RIM 使用 CVSS 來評估弱點,顯示永遠不變的安全性問題特徵。RIM 會將不是零的分數指派給所有相關的安全性問題。

我到哪裡可閱讀 BlackBerry PlayBook 安全性的詳細資訊?

如需 BlackBerry PlayBook 平板電腦安全性功能的更多資訊,請閱讀 BlackBerry PlayBook 安全性技術概觀 (英文)。

我到哪裡可閱讀 BlackBerry 產品和解決方案安全性的更多資訊?

如需 BlackBerry 安全性的更多資訊,請造訪 www.blackberry.com/security

Collapse感謝
Collapse變更記錄

免責聲明

下載、存取或以其他方式使用知識庫文件,即代表您同意:

   (a) http://btsc.webapps.blackberry.com/SearchKB/legal.do?lang=zh-tw 所提供文件的使用條款在您使用或援引這些文件時適用;

   (b) 未經 RIM 明確書面同意,不複製、散佈、揭露或重製文件的全部或任一部分。


BlackBerry.com法律聲明
版權所有 © 2011 Research In Motion Limited,除非特別說明。