RIM stopft Sicherheitsloch in »Blackberry«-Anwendung
Eine Sicherheitslücke im »Blackberry-Application-Web-Loader« von Research In Motion ermöglichte es Angreifern, eigene Programme auf Blackberry-Smartphones aufzuführen. Nun hat RIM das Loch geschlossen.
Der »böse Bube« im Fall des »Application-Web-Loader 1.0« von RIM ist ein ActiveX-Control-Element.
In IBMs X-Force-Sicherheitsreport für 2008 ist nachzulesen, dass ActiveX-Steuerelemente im vergangenen Jahr für 45 Prozent aller Sicherheitslücken bei Web-Browsern verantwortlich waren. Von diesen wiederum wurden zwei Drittel als kritisch oder gefährlich eingestuft.
Im Fall der Blackberry-Anwendung konnten sich Angreifer einen Buffer-Overflow zunutze machen. Quasi mit im Boot sitzt auch der Browser Internet-Explorer: Er nutzt den Application-Web-Loader, um Anwendungen auf Blackberry-Smartphones zu installieren.
Den Internet-Explorer killen
Das Loch erlaubt die »Remote-Execution« von Software auf dem Mobilgerät. Außerdem können Angreifer den Internet-Explorer zum Absturz bringen.
RIM hat mittlerweile ein Update für den Application-Web-Loader herausgebracht, das die Lücke schließt. Zudem stellt der Hersteller auf seiner Web-Seite einen Workaround vor, der das ActiveX-Steuerelement aus dem Internet-Explorer entfernt. Hier der Link zur entsprechenden Web-Seite von RIM.
