漏洞影響近2億輛汽車 黑莓曾試圖隱瞞該漏洞

CISA就黑莓產品中的BadAlloc漏洞發布警報，該漏洞影響近2億輛汽車以及成千上萬的工業控制、醫療工具等設備。

漏洞影響近2億輛汽車

8月17日，黑莓公司發布公告稱其用于醫療設備、汽車、工廠甚至國際空間站的QNX實時操作系統可能受到漏洞BadAlloc的影響。前不久，黑莓公司剛剛宣傳該實時操作系統已在2億輛汽車上投入使用。

BadAlloc是一個整數溢出漏洞集合，涵蓋了超過25個漏洞，影響多個黑莓QNX系統的C語言運行庫中的calloc()函數。利用該漏洞可以使受影響設備出現拒絕服務的情況或執行任意代碼。

要利用這一漏洞，攻擊者必須控制調用 calloc()函數的參數，并能控制分配后的內存訪問。如果受影響的產品正在運行，并且受影響的設備暴露在互聯網上，那么有網絡訪問權的攻擊者可以遠程利用這個漏洞。

該漏洞影響范圍如下：

據黑莓稱，該漏洞沒有解決方法，但他們指出，用戶可以通過啟用ASLR地址空間隨機化來降低受攻擊的可能性。

目前，CISA還沒有捕捉到對這一漏洞的利用，但關鍵基礎設施組織和其他開發、維護、支持或使用受影響的基于QNX的系統的組織，應當盡快修補受影響的產品。

黑莓曾試圖隱瞞該漏洞

據Politico消息，兩名相關人士（其中一名是政府官員）表示，黑莓最初否認 BadAlloc漏洞對其產品有影響，并且拒絕公開聲明承認此事。在CISA的督促下，黑莓才承認該漏洞的存在。

今年4月，微軟的安全研究人員就發現了該漏洞，并且發現該漏洞存在于多家公司的操作系統和軟件中。5月，一些受影響的公司與國土安全部的網絡安全和基礎設施安全局合作，公開披露了漏洞并敦促用戶修補他們的設備。

但是黑莓卻不在其中。

據透露，黑莓打算私下直接聯系客戶，以提醒該漏洞的存在。

事實上，黑莓并不是唯一這么做的公司。許多企業喜歡私下提醒用戶修復，因為這樣可以避免讓攻擊者趁機攻擊，也可以減少因漏洞帶來的負面評價以及經濟損失。

但是私下通知的形式只能提醒一小部分受影響的公司。黑莓告訴CISA，他們無法識別每一個使用該系統的個人、企業，以向他們發出警告。并且，隨著時間的推移，黑莓也意識到了公開披露或許會帶來更多的好處。

因此，最終黑莓同意了發布公告以督促用戶進行升級。