黑莓隐藏漏洞,无解:影响了宝马、福特等近2亿辆汽车的工具等设备。漏洞影响近2亿辆汽车8月17日,黑莓宣布其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。不久前,黑莓刚刚宣布实时操作系统已经在2亿辆汽车上投入使用。BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行时库中的calloc()函数。利用此漏洞可能导致拒绝服务或在受影响的设备上执行任意代码。要利用此漏洞,攻击者必须控制调用calloc()函数的参数,并能够在分配后控制内存访问。如果受影响的产品正在运行并且受影响的设备暴露在Internet上,则具有网络访问权限的攻击者可以远程利用此漏洞。漏洞影响范围如下:据黑莓称,该漏洞没有变通方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低被攻击的可能性。CISA目前尚未发现利用此漏洞的行为,但开发、维护、支持或使用受影响的基于QNX的系统的关键基础设施组织和其他组织应尽快修补受影响的产品。黑莓试图隐瞒漏洞据Politico报道,两名相关人士(其中一名政府官员)表示,黑莓最初否认BadAlloc漏洞影响了其产品,并拒绝在公开声明中承认此事。BlackBerry只是在CISA的敦促下才承认该漏洞。今年4月,微软安全研究人员发现了该漏洞,发现该漏洞存在于多家公司的操作系统和软件中。5月,一些受影响的公司与国土安全部的网络安全和基础设施安全局合作,公开披露漏洞并敦促用户修补他们的设备。但黑莓不在其中。据透露,黑莓计划私下直接联系客户,提醒他们该漏洞。事实上,黑莓并不是唯一一家这样做的公司。很多公司喜欢提醒用户私下修复,因为这样可以防止攻击者趁机攻击,也可以减少漏洞造成的负面评价和经济损失。但私人通知格式只提醒了少数受影响的公司。黑莓告诉CISA,它无法识别每个使用该系统警告他们的个人或企业。而且,随着时间的推移,黑莓意识到公开披露可能会带来更多好处。因此,最终黑莓同意发布公告敦促用户升级。
