CISA就黑莓商品中的BadAlloc漏洞公布报警,该漏洞危害近2亿辆汽车及其许多的工业控制系统、诊疗专用工具等机器设备。
漏洞危害近2亿辆汽车
8月17日,黑莓企业发布消息称其用以医疗器械、汽车、加工厂乃至国际空间站的QNX嵌入式操作系统很有可能遭受漏洞BadAlloc的危害。不久前,黑莓企业刚宣传策划该嵌入式操作系统已在2亿辆汽车上交付使用。
BadAlloc是一个整数金额外溢漏洞结合,包含了高于25个漏洞,危害好几个黑莓QNX系统软件的C语言运行库中的calloc()函数公式。利用该漏洞可以使受影响机器设备发生拒绝服务攻击的情形或实行任何编码。
要利用这一漏洞,攻击者务必操纵启用 calloc()函数公式的主要参数,并能操纵分派后的运行内存浏览。假如受影响的设备已经运作,而且受影响的机器设备曝露在移动互联网上,那麼有网站访问权的攻击者可以远程控制利用这一漏洞。
该漏洞危害范畴如下所示:
据黑莓称,该漏洞沒有解决方案,但她们强调,客户可以根据开启ASLR详细地址室内空间动态随机来减少受伤害的概率。
现阶段,CISA都还没捕获对这一漏洞的利用,但重要基础设施建设机构和别的开发设计、维护保养、适用或应用受影响的根据QNX的系統的机构,理应尽早修复受影响的商品。
黑莓曾尝试瞒报该漏洞
据Politico信息,两位有关人员(在其中一名是政府官员)表明,黑莓最开始否定 BadAlloc漏洞对其商品有影响,而且回绝公布申明认可这事。在CISA的催促下,黑莓才认可该漏洞的存有。
2022年4月,微软公司的安全性科研工作人员就发觉了该漏洞,而且发觉该漏洞存有于好几家企业的系统软件和手机软件中。5月,一些受影响的企业与国土安全局的互联网安全和基础设施建设安全局协作,公布披露了漏洞并督促客户修复她们的机器设备。
可是黑莓却不是在其中。
据表露,黑莓准备私底下立即沟通顾客,以提示该漏洞的存有。
实际上,黑莓并非唯一那么做的企业。很多公司喜爱私底下提示客户修补,由于那样可以防止让攻击者借机进攻,还可以降低因漏洞产生的消极点评及其财产损失。
可是私底下通告的方式只有提示一小部分受影响的企业。黑莓告知CISA,她们无法识别每一个应用该体系的本人、公司,以向她们传出警示。而且,伴随着時间的变化,黑莓也认识到了公布披露也许会产生越来越多的益处。
因而,最后黑莓允许了发布消息以催促客户开展更新。