黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备

黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备_第1张图片 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

黑莓 (BlackBerry) 的QNX 实时操作系统 (RTOS) 老旧版本受一个严重漏洞影响,可导致恶意人员破坏并控制多种产品,包括汽车、医疗设备和工业设备等。

漏洞(CVE-2021-22156)是 BadAlloc 系列漏洞中的其中一个,最初由微软在2021年4月发现,它可被用于在很多设备中开后门,使攻击者操控设备或破坏其操作。

美国网络安全和基础设施局 (CISA) 在本周二发布的安全通告中指出,“远程攻击者可利用 CVE-2021-22156引发拒绝服务条件或在受影响设备上执行任意代码。”截至目前,尚未有证据表明该漏洞已遭利用。

黑莓 QNX 技术广泛应用于全球超过1.95亿个车辆和嵌入式系统,遍布多个行业,包括航空和国防行业、汽车行业、商业车辆、重型机械、工控、医疗、铁路和机器人行业。

黑莓发布独立安全公告指出,该问题是“位于 C 运行时库 calloc() 函数中的整数溢出漏洞”,影响 QNX 软件开发平台 (SDP) 版本 6.5.0SP1 及之前版本、Medical 1.1 及之前版本使用的 QNX OS、Safety 1.0.1 使用的 QNX OS。物联网和运营设备制造商如集成受影响的基于 QNX 的系统,则建议应用如下补丁:

  • QNX SDP 6.5.0 SP1:应用补丁 ID 4844 或升级至 QNX SDP 6.6.0 或后续版本

  • QNX OS for Safety 1.0 或 1.0.1:升级至 QNX OS for Safety 1.0.2,以及

  • QNX OS for Medical 1.0 或1.1:将补丁ID 4846 应用至 QNX OS for Medical 1.1.1

黑莓建议的缓解措施是“确保仅有使用 RTOS 的应用程序使用的端口和协议才是可访问的,拦截其它端口和协议。按照网络分段、漏洞扫描和入侵检测最佳实践,在网络安全环境中使用 QNX 产品,阻止恶意或越权访问易受攻击设备。“

Politico 发布报告披露称,4月份末,黑莓反对公开披露 BadAlloc 漏洞,而是计划私密联系客户通知该漏洞,但此举可使多个制造商处于风险之中,因为该公司无法识别出使用该软件的所有厂商。

该报告指出,“黑莓公司的代表在今年年初告知 CISA 称,他们认为 BadAlloc 并不影响其产品,即便CISA已表示确实影响。几个月来,CISA 一直都在推动黑莓接受这一坏消息,最终促使该公司证实该漏洞存在。“

推荐阅读

研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备

Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备

Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难

原文链接

https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备_第2张图片

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备_第3张图片 觉得不错,就点个 “在看” 或 "赞” 吧~

你可能感兴趣的:(黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备)