|
漏洞概述 |
|||
|
漏洞名称 |
BlackBerry QNX SDP 越界写漏洞 |
||
|
漏洞编号 |
CVE-2025-2474 |
||
|
公开时间 |
2025-6-10 |
CVSS 3.1 |
9.8 |
|
漏洞类型 |
越界写 |
POC状态 |
|
|
利用可能性 |
高 |
EXP状态 |
|
|
在野利用状态 |
未发现 |
技术细节状态 |
未公开 |
01
影响组件
QNX 是高可靠、高可用的微内核实时操作系统,以卓越实时性能著称。在智能汽车和智能终端领域,它广泛应用于数字仪表、IVI、ADAS 等核心控制系统及整车域控制器。微内核架构保障系统稳定安全,满足 ISO 26262 功能安全与 ISO/SAE 21434 信息安全严苛要求,且软硬件兼容性强,便于设备服务集成,是汽车操作系统平台的关键基础。QNX 获全球主流车企及一级供应商认可,目前超 2.55 亿辆汽车搭载该系统。
02
漏洞描述
近日,BlackBerry 官方发布安全公告,披露了 BlackBerry QNX SDP 中的一处越界写漏洞,官方给出的 CVSS(通用漏洞评分系统)评分为 9.8,属于“严重”级别,涉及组件为 PCX 图像编解码器。攻击者若要利用此漏洞,需要目标系统解析恶意构造的 PCX 格式图像文件,成功后可导致拒绝服务或在图像编解码器进程的上下文中执行任意代码。该漏洞由360漏洞研究院发现并报告。
https://support.blackberry.com/pkb/s/article/140646
03
漏洞复现
04
官方致谢
360漏洞研究院发现该漏洞并第一时间向BlackBerry提交报告,官方致谢如下:
05
漏洞影响范围
BlackBerry QNX SDP = 8.0
BlackBerry QNX SDP = 7.1
BlackBerry QNX SDP = 7.0
06
修复建议
正式防护方案
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:
QNX SDP 8.0 >= 0.0.2.00108T202504090902L
QNX SDP 7.1 >= 0.0.7.00784T202503071321L
QNX SDP 7.0 >= 7.0.7150.L202503031527
下载链接:
https://www.qnx.com/swcenter/client/index.html
漏洞修复前,请确保备份所有关键数据,并按照官方指南进行操作。安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。
临时缓解措施
1. 确保编译时开启内存保护技术,如地址空间随机化(aslr)和堆栈保护(canary),攻击者必须绕过通用编译器或平台漏洞利用缓解技术才能成功实施攻击。
2. 在部署基于QNX SDP 8.0/7.1/7.0的系统时,应遵循最小权限原则,严格限制PCX图像解码进程的权限。
07
时间线
2025-02-12
360漏洞研究院向厂商报告漏洞
2025-06-10
厂商发布漏洞公告
2025-06-16
360漏洞研究院发布安全风险通告
08
参考链接
https://support.blackberry.com/pkb/s/article/140646
09
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
原文始发于微信公众号(360漏洞研究院):【原创情报】BlackBerry官方致谢!BlackBerry QNX SDP 越界写漏洞(CVE-2025-2474)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论