CISA就黑莓產(chǎn)品中的BadAlloc漏洞發(fā)布警報(bào)，該漏洞影響近2億輛汽車以及成千上萬(wàn)的工業(yè)控制、醫(yī)療工具等設(shè)備。

[[418386]]

漏洞影響近2億輛汽車

8月17日，黑莓公司發(fā)布公告稱其用于醫(yī)療設(shè)備、汽車、工廠甚至國(guó)際空間站的QNX實(shí)時(shí)操作系統(tǒng)可能受到漏洞BadAlloc的影響。前不久，黑莓公司剛剛宣傳該實(shí)時(shí)操作系統(tǒng)已在2億輛汽車上投入使用。

BadAlloc是一個(gè)整數(shù)溢出漏洞集合，涵蓋了超過(guò)25個(gè)漏洞，影響多個(gè)黑莓QNX系統(tǒng)的C語(yǔ)言運(yùn)行庫(kù)中的calloc()函數(shù)。利用該漏洞可以使受影響設(shè)備出現(xiàn)拒絕服務(wù)的情況或執(zhí)行任意代碼。

要利用這一漏洞，攻擊者必須控制調(diào)用 calloc()函數(shù)的參數(shù)，并能控制分配后的內(nèi)存訪問(wèn)。如果受影響的產(chǎn)品正在運(yùn)行，并且受影響的設(shè)備暴露在互聯(lián)網(wǎng)上，那么有網(wǎng)絡(luò)訪問(wèn)權(quán)的攻擊者可以遠(yuǎn)程利用這個(gè)漏洞。

該漏洞影響范圍如下：

據(jù)黑莓稱，該漏洞沒(méi)有解決方法，但他們指出，用戶可以通過(guò)啟用ASLR地址空間隨機(jī)化來(lái)降低受攻擊的可能性。

目前，CISA還沒(méi)有捕捉到對(duì)這一漏洞的利用，但關(guān)鍵基礎(chǔ)設(shè)施組織和其他開(kāi)發(fā)、維護(hù)、支持或使用受影響的基于QNX的系統(tǒng)的組織，應(yīng)當(dāng)盡快修補(bǔ)受影響的產(chǎn)品。

黑莓曾試圖隱瞞該漏洞

據(jù)Politico消息，兩名相關(guān)人士(其中一名是政府官員)表示，黑莓最初否認(rèn) BadAlloc漏洞對(duì)其產(chǎn)品有影響，并且拒絕公開(kāi)聲明承認(rèn)此事。在CISA的督促下，黑莓才承認(rèn)該漏洞的存在。

今年4月，微軟的安全研究人員就發(fā)現(xiàn)了該漏洞，并且發(fā)現(xiàn)該漏洞存在于多家公司的操作系統(tǒng)和軟件中。5月，一些受影響的公司與國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局合作，公開(kāi)披露了漏洞并敦促用戶修補(bǔ)他們的設(shè)備。

但是黑莓卻不在其中。

據(jù)透露，黑莓打算私下直接聯(lián)系客戶，以提醒該漏洞的存在。

事實(shí)上，黑莓并不是唯一這么做的公司。許多企業(yè)喜歡私下提醒用戶修復(fù)，因?yàn)檫@樣可以避免讓攻擊者趁機(jī)攻擊，也可以減少因漏洞帶來(lái)的負(fù)面評(píng)價(jià)以及經(jīng)濟(jì)損失。

但是私下通知的形式只能提醒一小部分受影響的公司。黑莓告訴CISA，他們無(wú)法識(shí)別每一個(gè)使用該系統(tǒng)的個(gè)人、企業(yè)，以向他們發(fā)出警告。并且，隨著時(shí)間的推移，黑莓也意識(shí)到了公開(kāi)披露或許會(huì)帶來(lái)更多的好處。

因此，最終黑莓同意了發(fā)布公告以督促用戶進(jìn)行升級(jí)。