CISA就黑莓产品中的BadAlloc漏洞发布警报，该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。

漏洞影响近2亿辆汽车

8月17日，黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久，黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。

BadAlloc是一个整数溢出漏洞集合，涵盖了超过25个漏洞，影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。

要利用这一漏洞，攻击者必须控制调用 calloc()函数的参数，并能控制分配后的内存访问。如果受影响的产品正在运行，并且受影响的设备暴露在互联网上，那么有网络访问权的攻击者可以远程利用这个漏洞。

该漏洞影响范围如下：

据黑莓称，该漏洞没有解决方法，但他们指出，用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。

目前，CISA还没有捕捉到对这一漏洞的利用，但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织，应当尽快修补受影响的产品。

黑莓曾试图隐瞒该漏洞

据Politico消息，两名相关人士（其中一名是政府官员）表示，黑莓最初否认 BadAlloc漏洞对其产品有影响，并且拒绝公开声明承认此事。在CISA的督促下，黑莓才承认该漏洞的存在。

今年4月，微软的安全研究人员就发现了该漏洞，并且发现该漏洞存在于多家公司的操作系统和软件中。5月，一些受影响的公司与国土安全部的网络安全和基础设施安全局合作，公开披露了漏洞并敦促用户修补他们的设备。

但是黑莓却不在其中。

据透露，黑莓打算私下直接联系客户，以提醒该漏洞的存在。

事实上，黑莓并不是唯一这么做的公司。许多企业喜欢私下提醒用户修复，因为这样可以避免让攻击者趁机攻击，也可以减少因漏洞带来的负面评价以及经济损失。

但是私下通知的形式只能提醒一小部分受影响的公司。黑莓告诉CISA，他们无法识别每一个使用该系统的个人、企业，以向他们发出警告。并且，随着时间的推移，黑莓也意识到了公开披露或许会带来更多的好处。

因此，最终黑莓同意了发布公告以督促用户进行升级。

参考

politico

zdnet