RIM releases patch voor Buggy ActiveX-besturingselement

Onderzoek iIn Motion heeft een stukje software voor Windows-pc's gepatcht die hen kwetsbaar kan maken voor aanvallen bij het laden van nieuwe applicaties op BlackBerry-apparaten.

naar een pc via een USB-kabel. Een ActiveX-besturingselement is een klein add-on-programma dat in een webbrowser werkt om het downloaden van programma's of beveiligingsupdates te vergemakkelijken. De besturingselementen waren echter kwetsbaar.

RIM zei in een advies dat een kwetsbaarheid wordt geïntroduceerd op een pc wanneer iemand het BlackBerry Application Web Loader ActiveX-besturingselement versie 1.0 uitvoert met een willekeurige versie van Microsoft's Internet Explorer-browser. Het advies bevat een koppeling naar de patch.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Het beveiligingslek is een te exploiteren bufferoverloop, wat een probleem is in het geheugen waardoor een ongeautoriseerd programma kan worden uitgevoerd. RIM gaf geen details over hoe het zou kunnen worden geëxploiteerd.

Het Amerikaanse Computer Emergency Readiness Team (CERT) zei echter dat een aanvaller willekeurige code kon uitvoeren met de privileges van een gebruiker door die gebruiker een speciaal vervaardigd HTML-document. Het kan ook leiden tot crashen van Internet Explorer, CERT schreef in een advies.

Het probleem scoort een 9.3 op het Common Vulnerability Scoring System (CVSS), een manier om het gevaar van een fout te evalueren. Een score van 10 wordt als de gevaarlijkste beschouwd en alles boven een zeven wordt als zeer ernstig beschouwd.

RIM adviseert klanten de patch toe te passen. In de nieuwste beveiligingsupdates op dinsdag bracht Microsoft ook een "kill-bit" uit voor het getroffen ActiveX-besturingselement. Een kill-bit blokkeert een ActiveX-besturingselement in Internet Explorer.