RIM เผยแพร่ Patch สำหรับ Buggy ActiveX Control

Research iIn Motion ได้ติดตั้งซอฟต์แวร์สำหรับพีซีที่ใช้ Windows ซึ่งอาจทำให้พวกเขาเสี่ยงต่อการถูกโจมตีเมื่อโหลดแอพพลิเคชันใหม่ลงในอุปกรณ์ BlackBerry

ข้อบกพร่องอยู่ในตัวควบคุม ActiveX ที่ใช้เพื่อโหลดแอพพลิเคชันอื่นบน BlackBerrys ที่เชื่อมต่อ ไปยังพีซีผ่านทางสาย USB ตัวควบคุม ActiveX เป็นโปรแกรม Add-on ขนาดเล็กที่ทำงานในเว็บเบราว์เซอร์เพื่ออำนวยความสะดวกในการดาวน์โหลดโปรแกรมหรือการปรับปรุงความปลอดภัย อย่างไรก็ตามการควบคุมมีแนวโน้มที่จะเกิดช่องโหว่

RIM กล่าวในที่ปรึกษาว่าช่องโหว่ถูกนำไปใช้กับเครื่องคอมพิวเตอร์เมื่อมีผู้ควบคุมตัวควบคุม ActiveX BlackBerry Application Web Loader เวอร์ชัน 1.0 พร้อมเบราว์เซอร์ Internet Explorer ของ Microsoft ทุกรุ่น คำแนะนำมีลิงก์ไปยังโปรแกรมแก้ไข

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

ช่องโหว่นี้เป็นบัฟเฟอร์ล้นซึ่งเป็นปัญหาในหน่วยความจำที่อาจทำให้โปรแกรมไม่ได้รับอนุญาตทำงานได้. RIM ไม่ได้ระบุรายละเอียดว่าจะใช้ประโยชน์ได้อย่างไร

อย่างไรก็ตามทีมงานเตรียมความพร้อมในกรณีฉุกเฉินทางคอมพิวเตอร์ของสหรัฐฯ (CERT) กล่าวว่าผู้บุกรุกสามารถสั่งรันโค้ดได้โดยใช้สิทธิของผู้ใช้โดยการให้ผู้ใช้ดู เอกสาร HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ยังอาจทำให้ Internet Explorer พัง CERT เขียนในที่ปรึกษา

ปัญหาได้คะแนน 9.3 ใน Common Vulnerability Scoring System (CVSS) ซึ่งเป็นวิธีประเมินความเสี่ยงของข้อบกพร่อง คะแนน 10 ถือว่าเป็นสิ่งที่อันตรายที่สุดและเหนือกว่าเจ็ดข้อถือว่ารุนแรงมาก

RIM แนะนำให้ลูกค้าใช้แพทช์ ในการอัปเดตความปลอดภัยล่าสุดในวันอังคาร Microsoft ได้เปิดตัว "kill bit" สำหรับตัวควบคุม ActiveX ที่ได้รับผลกระทบ บิตสังหารบล็อกตัวควบคุม ActiveX ไม่ให้ทำงานใน Internet Explorer