RIM Releases Patch för Buggy ActiveX Control

Forskning IIn Motion har patchat ett program för Windows-datorer som kan göra att de är utsatta för attack när de laddar nya program på BlackBerry-enheter.

Felet ligger i en ActiveX-kontroll som används för att ladda tredjepartsprogram på BlackBerry-anslutna till en dator via en USB-kabel. En ActiveX-kontroll är ett litet tilläggsprogram som fungerar i en webbläsare för att underlätta nedladdning av program eller säkerhetsuppdateringar. Kontrollerna har dock varit utsatta för sårbarheter.

RIM sa i en rådgivning att en sårbarhet introduceras på en dator när någon kör BlackBerry Application Web Loader Version 1.0 ActiveX-kontrollen med någon version av Microsofts Internet Explorer-webbläsare. Den rådgivande innehåller en länk till korrigeringsfilen.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Sårbarheten är en exploaterbar buffertöverflytning, vilket är ett problem i minnet som kan tillåta att ett obehörigt program körs. RIM gav inte information om hur det skulle kunna utnyttjas.

Det amerikanska datorberedskapslaget (CERT) sa dock att en angripare skulle kunna utföra godtycklig kod med en användares privilegier genom att få den användaren att se en specialtillverkade HTML-dokument. Det kan också få Internet Explorer att krascha, CERT skrev i en rådgivande.

Problemet ger en 9,3 på Common Vulnerability Scoring System (CVSS), ett sätt att utvärdera risken för fel. En poäng på 10 anses vara den farligaste, och allt över en sju anses vara mycket allvarligt.

RIM rekommenderar att kunder tillämpar plåstret. I sin senaste säkerhetsuppdateringar på tisdag släppte Microsoft också en "kill bit" för den berörda ActiveX-kontrollen. En dödbit blockerar en ActiveX-kontroll från att köra i Internet Explorer.