BlackBerry-Lücke: RIM empfiehlt Workaround

Als Reaktion auf die vergangene Woche bekannt gewordene Lücke (Integer Overflow) im BlackBerry-Browser empfiehlt der Hersteller RIM seinen Kunden, JavaScript zu deaktivieren. Das schließe zwar die Lücke nicht, verhindere aber dessen Missbrauch, um Code einzuschleusen und zu starten. Allerdings könne die Darstellung und Bedienung einiger Webseiten darunter leiden. Alternativ schlägt RIM vor, den Browser komplett abzuschalten. Administratoren können dies bei Unternehmenssmartphones aus der Ferne über die Konfiguration der "IT Policy Rules" erledigen.

Betroffen ist die BlackBerry Device Software ab Version 6.0 auf BlackBerry Torch 9800, Style 9670, Bold 9700, Bold 9650, Curve 9300 und Pearl 9100. Die Lücke in WebKit ermöglicht laut Hersteller zwar den Zugriff auf die Speicherkarte und den internen Speicher (Built-in Media Storage), nicht jedoch auf E-Mails, Kalenderdaten und Adressbucheinträge im Anwendungsspeicher (Application Storage). Die Aussage steht allerdings im Widerspruch zu dem Pwn2own-Hack, bei dem die Teilnehmer nicht nur das Adressbuch auslasen, sondern auch Bilder aus einem internen Cache laden konnten.

Google hat dieselbe Lücke in WebKit in seinem Chrome-Browser bereits geschlossen; RIM arbeitet noch an einen Update. Darüber hinaus hätte die Chrome-Sandbox ohnehin das Übergreifen eines Exploits auf das System verhindert. BlackBerry fehlen jegliche Funktionen moderner Betriebsysteme wie DEP und ASLR, um Angriffe zu erschweren oder zu verhindern. Das iPhone hat allerdings ASLR auch erst kürzlich mit iOS 4.3 nachgerüstet. (dab)