黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

admin 2021年12月7日10:05:35安全新闻评论36 views973字阅读3分14秒阅读模式

CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

漏洞影响近2亿辆汽车

8月17日,黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久,黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。

BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。

要利用这一漏洞,攻击者必须控制调用 calloc()函数的参数,并能控制分配后的内存访问。如果受影响的产品正在运行,并且受影响的设备暴露在互联网上,那么有网络访问权的攻击者可以远程利用这个漏洞。

该漏洞影响范围如下:

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

据黑莓称,该漏洞没有解决方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。

目前,CISA还没有捕捉到对这一漏洞的利用,但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织,应当尽快修补受影响的产品。

黑莓曾试图隐瞒该漏洞

据Politico消息,两名相关人士(其中一名是政府官员)表示,黑莓最初否认 BadAlloc漏洞对其产品有影响,并且拒绝公开声明承认此事。在CISA的督促下,黑莓才承认该漏洞的存在。

今年4月,微软的安全研究人员就发现了该漏洞,并且发现该漏洞存在于多家公司的操作系统和软件中。5月,一些受影响的公司与国土安全部的网络安全和基础设施安全局合作,公开披露了漏洞并敦促用户修补他们的设备。

但是黑莓却不在其中。

据透露,黑莓打算私下直接联系客户,以提醒该漏洞的存在。

事实上,黑莓并不是唯一这么做的公司。许多企业喜欢私下提醒用户修复,因为这样可以避免让攻击者趁机攻击,也可以减少因漏洞带来的负面评价以及经济损失。

但是私下通知的形式只能提醒一小部分受影响的公司。黑莓告诉CISA,他们无法识别每一个使用该系统的个人、企业,以向他们发出警告。并且,随着时间的推移,黑莓也意识到了公开披露或许会带来更多的好处。

因此,最终黑莓同意了发布公告以督促用户进行升级。

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车


精彩推荐





黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

本文始发于微信公众号(FreeBuf):黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月7日10:05:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  黑莓隐瞒漏洞BadAlloc,暂无解决方法:影响宝马、福特等近2亿汽车 http://cn-sec.com/archives/463407.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: