黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
黑莓 (BlackBerry) 的QNX 实时操作系统 (RTOS) 老旧版本受一个严重漏洞影响,可导致恶意人员破坏并控制多种产品,包括汽车、医疗设备和工业设备等。
漏洞(CVE-2021-22156)是 BadAlloc 系列漏洞中的其中一个,最初由微软在2021年4月发现,它可被用于在很多设备中开后门,使攻击者操控设备或破坏其操作。
美国网络安全和基础设施局 (CISA) 在本周二发布的安全通告中指出,“远程攻击者可利用 CVE-2021-22156引发拒绝服务条件或在受影响设备上执行任意代码。”截至目前,尚未有证据表明该漏洞已遭利用。
黑莓 QNX 技术广泛应用于全球超过1.95亿个车辆和嵌入式系统,遍布多个行业,包括航空和国防行业、汽车行业、商业车辆、重型机械、工控、医疗、铁路和机器人行业。
黑莓发布独立安全公告指出,该问题是“位于 C 运行时库 calloc() 函数中的整数溢出漏洞”,影响 QNX 软件开发平台 (SDP) 版本 6.5.0SP1 及之前版本、Medical 1.1 及之前版本使用的 QNX OS、Safety 1.0.1 使用的 QNX OS。物联网和运营设备制造商如集成受影响的基于 QNX 的系统,则建议应用如下补丁:
QNX SDP 6.5.0 SP1:应用补丁 ID 4844 或升级至 QNX SDP 6.6.0 或后续版本
QNX OS for Safety 1.0 或 1.0.1:升级至 QNX OS for Safety 1.0.2,以及
QNX OS for Medical 1.0 或1.1:将补丁ID 4846 应用至 QNX OS for Medical 1.1.1
黑莓建议的缓解措施是“确保仅有使用 RTOS 的应用程序使用的端口和协议才是可访问的,拦截其它端口和协议。按照网络分段、漏洞扫描和入侵检测最佳实践,在网络安全环境中使用 QNX 产品,阻止恶意或越权访问易受攻击设备。“
Politico 发布报告披露称,4月份末,黑莓反对公开披露 BadAlloc 漏洞,而是计划私密联系客户通知该漏洞,但此举可使多个制造商处于风险之中,因为该公司无法识别出使用该软件的所有厂商。
该报告指出,“黑莓公司的代表在今年年初告知 CISA 称,他们认为 BadAlloc 并不影响其产品,即便CISA已表示确实影响。几个月来,CISA 一直都在推动黑莓接受这一坏消息,最终促使该公司证实该漏洞存在。“
推荐阅读
研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备
Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备
Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
原文链接
https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备相关推荐
- 中国台湾芯片设计商 Realtek 的WiFi SDK漏洞影响数百万IOT设备
中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞,影响超过65个厂商的200款IoT设备. 这4个漏洞分别是: ◼CVE-2021-35392:由于SS ...
- DNS漏洞影响数百万物联网设备安全,ZDNS打造Safeguard安全威胁管控系统,精准防御实现网络安全防线前移
uClibc库域名系统(DNS)组件中的一个漏洞影响了数百万的物联网设备安全.近期,来自全球工业网络安全领域领导企业NozomiNetworks的一则警告,在业内引发了一场舆论"地震&quo ...
- 计算机漏洞为什么无法避免,雷电3接口漏洞影响数百万计算机:5分钟解锁设备,无法修复...
雷电3(Thunderbolt)接口存在缺陷,2019 年之前生产.出货的配备雷电3的设备都容易受到攻击.而自2019 年后已交付的提供内核DMA保护的设备,也在一定程度上易受攻击.并且该漏洞不能在软 ...
- 戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 戴尔修复了一个已存在12年之久的漏洞,它影响数百万台戴尔桌面.笔记本电脑.平板,该漏洞编号为 CVE-2021-21551,影响Dell ...
- 新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
执行摘要 随着物联网的不断发展,物联网安全也越来越受到关注.自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人 ...
- 惠普OMEN游戏本驱动曝内核级漏洞,影响数百万Windows 计算机
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员详述了惠普OMEN游戏本驱动软件中的一个高危漏洞(CVE-2021-3437),使全球数百万台游戏计算机易受攻击. 该漏洞的CVS ...
- 4个开源 TCP/IP 栈被曝33个漏洞,数百万智能和工业设备受影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Forescout 公司的安全研究员披露了150多个厂商产品固件中当前所使用的四个开源 TCP/IP 库中的33个安全缺陷,被统称为 ...
- 研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员警告称,通过 ThroughTek 公司 Kalay 物联网云平台连接的数千万台设备受一个严重漏洞(CVE-2021-28372)影响 ...
- Avast 和 AVG 杀软中的两个高危漏洞已存在10年?!影响数百万设备
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究员在Avast和AVG杀软解决方案的一款合法驱动中发现了已潜伏多年的两个高危漏洞:CVE-2022-26522和CVE-2022-26523 ...
最新文章
- 机器学习中的数学基础:(1)实际应用中矩阵特征值与特征向量的几何意义
- 【转】Redis安装整理(window平台和Linux平台)
- MySQL下载以及安装【windows】
- 设置组件局部样式原理-属性选择器
- 51单片机C语言led流水灯及数码管实现秒表
- 网站报错时,自动跳转到指定报错页(error.html)的办法
- nginx和tomcat整合
- 10 个实验性的 JS/CSS3 编程技术
- Uploadify 3.2 参数属性、事件、方法函数详解以及配置
- 华为鸿蒙手机开机动画,华为“鸿蒙”来了!开机动画美炸了,用PPT一分钟就搞定...
- linux之grep使用技巧
- mac搜索文件什么都没有,是为什么
- Centos 6.4 /var/log/secure 日志不记录问题
- linux添加mysql到服务_Linux下将MySQL服务添加到服务器的系统服务中
- 三、Serializer序列化器
- java jbutton 省略号_JButton显示省略号
- 测试移动硬盘的真实容量的软件,移动硬盘容量标识有猫腻:实际缩水99%
- MYSQL实现排序分组取第一条sql
- 百万“悬赏” | 2022光合组织AI解决方案大赛Wanted You!
- 计算机无法完成更新如何处理,Win10更新过程中碰到“无法完成更新”怎么办