黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

黑莓 (BlackBerry) 的QNX 实时操作系统 (RTOS) 老旧版本受一个严重漏洞影响，可导致恶意人员破坏并控制多种产品，包括汽车、医疗设备和工业设备等。

漏洞（CVE-2021-22156）是 BadAlloc 系列漏洞中的其中一个，最初由微软在2021年4月发现，它可被用于在很多设备中开后门，使攻击者操控设备或破坏其操作。

美国网络安全和基础设施局 (CISA) 在本周二发布的安全通告中指出，“远程攻击者可利用 CVE-2021-22156引发拒绝服务条件或在受影响设备上执行任意代码。”截至目前，尚未有证据表明该漏洞已遭利用。

黑莓 QNX 技术广泛应用于全球超过1.95亿个车辆和嵌入式系统，遍布多个行业，包括航空和国防行业、汽车行业、商业车辆、重型机械、工控、医疗、铁路和机器人行业。

黑莓发布独立安全公告指出，该问题是“位于 C 运行时库 calloc() 函数中的整数溢出漏洞”，影响 QNX 软件开发平台 (SDP) 版本 6.5.0SP1 及之前版本、Medical 1.1 及之前版本使用的 QNX OS、Safety 1.0.1 使用的 QNX OS。物联网和运营设备制造商如集成受影响的基于 QNX 的系统，则建议应用如下补丁：

• QNX SDP 6.5.0 SP1：应用补丁 ID 4844 或升级至 QNX SDP 6.6.0 或后续版本

• QNX OS for Safety 1.0 或 1.0.1：升级至 QNX OS for Safety 1.0.2，以及

• QNX OS for Medical 1.0 或1.1：将补丁ID 4846 应用至 QNX OS for Medical 1.1.1

黑莓建议的缓解措施是“确保仅有使用 RTOS 的应用程序使用的端口和协议才是可访问的，拦截其它端口和协议。按照网络分段、漏洞扫描和入侵检测最佳实践，在网络安全环境中使用 QNX 产品，阻止恶意或越权访问易受攻击设备。“

Politico 发布报告披露称，4月份末，黑莓反对公开披露 BadAlloc 漏洞，而是计划私密联系客户通知该漏洞，但此举可使多个制造商处于风险之中，因为该公司无法识别出使用该软件的所有厂商。

该报告指出，“黑莓公司的代表在今年年初告知 CISA 称，他们认为 BadAlloc 并不影响其产品，即便CISA已表示确实影响。几个月来，CISA 一直都在推动黑莓接受这一坏消息，最终促使该公司证实该漏洞存在。“

推荐阅读

研究员告警：严重漏洞影响数千万台IoT设备，可远程查看实时音视频并接管设备

Realtek WiFi SDK 被曝多个漏洞，影响供应链上至少65家厂商近百万台IoT设备

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

原文链接

https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~