RIM Releases Patch for Buggy ActiveX Control

Forskning i Motion har patcheret et stykke software til Windows-pc'er, der kan gøre dem sårbare over for angreb, når de lægger nye applikationer på BlackBerry-enheder.

Fejlen ligger i en ActiveX-kontrol, der bruges til at indlæse tredjepartsapplikationer på BlackBerrys tilsluttede til en pc via et USB-kabel. En ActiveX-kontrol er et lille add-on-program, der fungerer i en webbrowser for at lette overførslen af ​​programmer eller sikkerhedsopdateringer. Men kontrollerne har været udsat for sårbarheder.

RIM sagde i en rådgivning, at en sårbarhed introduceres til en pc, når nogen kører BlackBerry Application Web Loader Version 1.0 ActiveX-kontrol med enhver version af Microsofts internet Explorer-browser. Den rådgivende indeholder et link til patchen.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Sårbarheden er et udnytteligt bufferoverløb, hvilket er et problem i hukommelsen, der kan tillade et uautoriseret program at køre. RIM gav ikke detaljer om, hvordan det kunne udnyttes.

US Computer Emergency Readiness Team (CERT) sagde imidlertid, at en hacker kunne udføre vilkårlig kode med privilegierne hos en bruger ved at få den bruger til at se en specielt udformet HTML-dokument. Det kan også få Internet Explorer til at gå ned, CERT skrev i en rådgivning.

Problemet scorer 9,3 på CVSS-systemet (Common Vulnerability Scoring System), en måde at vurdere faren for en fejl. En score på 10 betragtes som den farligste, og noget over en syv anses for meget alvorligt.

RIM anbefaler, at kunder anvender plaster. I sine seneste sikkerhedsopdateringer tirsdag udgav Microsoft også en "kill bit" for den berørte ActiveX-kontrol. En kill-bit blokerer en ActiveX-kontrol fra at køre i Internet Explorer.