黑莓隐瞒漏洞,暂无解决方法:影响宝马、福特等近2亿汽车

安全
CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。

CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。

[[418386]]

漏洞影响近2亿辆汽车

8月17日,黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久,黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。

BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。

要利用这一漏洞,攻击者必须控制调用 calloc()函数的参数,并能控制分配后的内存访问。如果受影响的产品正在运行,并且受影响的设备暴露在互联网上,那么有网络访问权的攻击者可以远程利用这个漏洞。

该漏洞影响范围如下:

1629275156_611cc4148b8a7bfb18a5c.png!small?1629275156822

据黑莓称,该漏洞没有解决方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。

目前,CISA还没有捕捉到对这一漏洞的利用,但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织,应当尽快修补受影响的产品。

黑莓曾试图隐瞒该漏洞

据Politico消息,两名相关人士(其中一名是政府官员)表示,黑莓最初否认 BadAlloc漏洞对其产品有影响,并且拒绝公开声明承认此事。在CISA的督促下,黑莓才承认该漏洞的存在。

今年4月,微软的安全研究人员就发现了该漏洞,并且发现该漏洞存在于多家公司的操作系统和软件中。5月,一些受影响的公司与国土安全部的网络安全和基础设施安全局合作,公开披露了漏洞并敦促用户修补他们的设备。

但是黑莓却不在其中。

据透露,黑莓打算私下直接联系客户,以提醒该漏洞的存在。

事实上,黑莓并不是唯一这么做的公司。许多企业喜欢私下提醒用户修复,因为这样可以避免让攻击者趁机攻击,也可以减少因漏洞带来的负面评价以及经济损失。

但是私下通知的形式只能提醒一小部分受影响的公司。黑莓告诉CISA,他们无法识别每一个使用该系统的个人、企业,以向他们发出警告。并且,随着时间的推移,黑莓也意识到了公开披露或许会带来更多的好处。

因此,最终黑莓同意了发布公告以督促用户进行升级。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-04-14 14:12:20

WRECK漏洞IoT设备

2015-02-13 09:37:09

2009-11-12 17:08:08

2021-08-16 17:30:51

漏洞数据泄露信息泄露

2023-03-27 22:16:03

2014-04-23 10:29:57

2013-04-16 09:46:44

2023-07-27 16:48:13

2010-09-02 09:15:50

企业云计算

2013-05-09 03:08:58

2023-01-05 22:47:48

2021-08-18 11:00:15

黑莓漏洞汽车

2011-05-26 11:38:23

重复页

2021-08-02 10:28:35

漏洞网络安全网络攻击

2013-06-20 09:14:43

2010-11-04 10:44:27

DB2 not fou

2021-11-30 09:18:17

汽车智能技术

2021-10-29 15:27:42

智能眼镜汽车

2024-01-05 08:40:33

数据库内存

2021-04-18 09:41:48

WRECK DNS漏洞NAME
点赞
收藏

51CTO技术栈公众号