RIM publie un correctif pour le contrôle ActiveX Buggy

Recherche iIn Motion a corrigé un logiciel pour les PC Windows qui pourrait les rendre vulnérables aux attaques lors du chargement de nouvelles applications sur les terminaux BlackBerry

La faille réside dans un contrôle ActiveX utilisé pour charger des applications tierces sur des BlackBerry connectés à un PC via un câble USB. Un contrôle ActiveX est un petit programme complémentaire qui fonctionne dans un navigateur Web pour faciliter le téléchargement de programmes ou de mises à jour de sécurité. Cependant, les contrôles ont été exposés à des vulnérabilités. RIM a indiqué dans un avis qu'une vulnérabilité est introduite sur un PC lorsque quelqu'un exécute le contrôle ActiveX BlackBerry Application Web Loader Version 1.0 avec n'importe quelle version du navigateur Internet Explorer de Microsoft.

[Plus d'informations: Comment supprimer les malwares de votre PC Windows]

La vulnérabilité est un débordement de buffer exploitable, ce qui est un problème en mémoire qui pourrait permettre l'exécution d'un programme non autorisé. RIM n'a pas donné de détails sur la façon dont il pourrait être exploité.

Cependant, l'équipe américaine CERT (Computer Emergency Readiness Team) a déclaré qu'un attaquant pourrait exécuter du code arbitraire avec les privilèges d'un utilisateur en lui document HTML spécialement conçu. CERT a écrit dans un avis.

Le problème obtient un score de 9,3 sur le CVSS (Common Vulnerability Scoring System), un moyen d'évaluer le danger d'une faille. Un score de 10 est considéré comme le plus dangereux, et tout ce qui est au-dessus de sept est considéré comme très sévère.

RIM conseille aux clients d'appliquer le timbre. Dans ses dernières mises à jour de sécurité publiées mardi, Microsoft a également publié un "kill bit" pour le contrôle ActiveX affecté. Un kill bit bloque l'exécution d'un contrôle ActiveX dans Internet Explorer.