黑莓隐瞒漏洞,暂无解决方法:影响宝马、福特等近2亿汽车
CISA就黑莓产品中的BadAlloc漏洞发布警报,该漏洞影响近2亿辆汽车以及成千上万的工业控制、医疗工具等设备。 漏洞影响近2亿辆汽车 8月17日,黑莓公司发布公告称其用于医疗设备、汽车、工厂甚至国际空间站的QNX实时操作系统可能受到漏洞BadAlloc的影响。前不久,黑莓公司刚刚宣传该实时操作系统已在2亿辆汽车上投入使用。 BadAlloc是一个整数溢出漏洞集合,涵盖了超过25个漏洞,影响多个黑莓QNX系统的C语言运行库中的calloc()函数。利用该漏洞可以使受影响设备出现拒绝服务的情况或执行任意代码。 要利用这一漏洞,攻击者必须控制调用 calloc()函数的参数,并能控制分配后的内存访问。如果受影响的产品正在运行,并且受影响的设备暴露在互联网上,那么有网络访问权的攻击者可以远程利用这个漏洞。 该漏洞影响范围如下: 据黑莓称,该漏洞没有解决方法,但他们指出,用户可以通过启用ASLR地址空间随机化来降低受攻击的可能性。 目前,CISA还没有捕捉到对这一漏洞的利用,但关键基础设施组织和其他开发、维护、支持或使用受影响的基于QNX的系统的组织,应当尽快修补受影响的产品。 黑莓曾试图隐...
