聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

黑莓 (BlackBerry) 的QNX 实时操作系统 (RTOS) 老旧版本受一个严重漏洞影响,可导致恶意人员破坏并控制多种产品,包括汽车、医疗设备和工业设备等。

漏洞(CVE-2021-22156)是 BadAlloc 系列漏洞中的其中一个,最初由微软在2021年4月发现,它可被用于在很多设备中开后门,使攻击者操控设备或破坏其操作。

美国网络安全和基础设施局 (CISA) 在本周二发布的安全通告中指出,“远程攻击者可利用 CVE-2021-22156引发拒绝服务条件或在受影响设备上执行任意代码。”截至目前,尚未有证据表明该漏洞已遭利用。

黑莓 QNX 技术广泛应用于全球超过1.95亿个车辆和嵌入式系统,遍布多个行业,包括航空和国防行业、汽车行业、商业车辆、重型机械、工控、医疗、铁路和机器人行业。

黑莓发布独立安全公告指出,该问题是“位于 C 运行时库 calloc() 函数中的整数溢出漏洞”,影响 QNX 软件开发平台 (SDP) 版本 6.5.0SP1 及之前版本、Medical 1.1 及之前版本使用的 QNX OS、Safety 1.0.1 使用的 QNX OS。物联网和运营设备制造商如集成受影响的基于 QNX 的系统,则建议应用如下补丁:

  • QNX SDP 6.5.0 SP1:应用补丁 ID 4844 或升级至 QNX SDP 6.6.0 或后续版本

  • QNX OS for Safety 1.0 或 1.0.1:升级至 QNX OS for Safety 1.0.2,以及

  • QNX OS for Medical 1.0 或1.1:将补丁ID 4846 应用至 QNX OS for Medical 1.1.1

黑莓建议的缓解措施是“确保仅有使用 RTOS 的应用程序使用的端口和协议才是可访问的,拦截其它端口和协议。按照网络分段、漏洞扫描和入侵检测最佳实践,在网络安全环境中使用 QNX 产品,阻止恶意或越权访问易受攻击设备。“

Politico 发布报告披露称,4月份末,黑莓反对公开披露 BadAlloc 漏洞,而是计划私密联系客户通知该漏洞,但此举可使多个制造商处于风险之中,因为该公司无法识别出使用该软件的所有厂商。

该报告指出,“黑莓公司的代表在今年年初告知 CISA 称,他们认为 BadAlloc 并不影响其产品,即便CISA已表示确实影响。几个月来,CISA 一直都在推动黑莓接受这一坏消息,最终促使该公司证实该漏洞存在。“

推荐阅读

研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备

Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备

Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难

原文链接

https://thehackernews.com/2021/08/badalloc-flaw-affects-blackberry-qnx.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备相关推荐

  1. 中国台湾芯片设计商 Realtek 的WiFi SDK漏洞影响数百万IOT设备

    中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞,影响超过65个厂商的200款IoT设备. 这4个漏洞分别是: ◼CVE-2021-35392:由于SS ...

  2. DNS漏洞影响数百万物联网设备安全,ZDNS打造Safeguard安全威胁管控系统,精准防御实现网络安全防线前移

    uClibc库域名系统(DNS)组件中的一个漏洞影响了数百万的物联网设备安全.近期,来自全球工业网络安全领域领导企业NozomiNetworks的一则警告,在业内引发了一场舆论"地震&quo ...

  3. 计算机漏洞为什么无法避免,雷电3接口漏洞影响数百万计算机:5分钟解锁设备,无法修复...

    雷电3(Thunderbolt)接口存在缺陷,2019 年之前生产.出货的配备雷电3的设备都容易受到攻击.而自2019 年后已交付的提供内核DMA保护的设备,也在一定程度上易受攻击.并且该漏洞不能在软 ...

  4. 戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 戴尔修复了一个已存在12年之久的漏洞,它影响数百万台戴尔桌面.笔记本电脑.平板,该漏洞编号为 CVE-2021-21551,影响Dell ...

  5. 新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备

    执行摘要 随着物联网的不断发展,物联网安全也越来越受到关注.自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人 ...

  6. 惠普OMEN游戏本驱动曝内核级漏洞,影响数百万Windows 计算机

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员详述了惠普OMEN游戏本驱动软件中的一个高危漏洞(CVE-2021-3437),使全球数百万台游戏计算机易受攻击. 该漏洞的CVS ...

  7. 4个开源 TCP/IP 栈被曝33个漏洞,数百万智能和工业设备受影响

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Forescout 公司的安全研究员披露了150多个厂商产品固件中当前所使用的四个开源 TCP/IP 库中的33个安全缺陷,被统称为 ...

  8. 研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备...

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员警告称,通过 ThroughTek 公司 Kalay 物联网云平台连接的数千万台设备受一个严重漏洞(CVE-2021-28372)影响 ...

  9. Avast 和 AVG 杀软中的两个高危漏洞已存在10年?!影响数百万设备

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究员在Avast和AVG杀软解决方案的一款合法驱动中发现了已潜伏多年的两个高危漏洞:CVE-2022-26522和CVE-2022-26523 ...

最新文章

  1. 机器学习中的数学基础:(1)实际应用中矩阵特征值与特征向量的几何意义
  2. 【转】Redis安装整理(window平台和Linux平台)
  3. MySQL下载以及安装【windows】
  4. 设置组件局部样式原理-属性选择器
  5. 51单片机C语言led流水灯及数码管实现秒表
  6. 网站报错时,自动跳转到指定报错页(error.html)的办法
  7. nginx和tomcat整合
  8. 10 个实验性的 JS/CSS3 编程技术
  9. Uploadify 3.2 参数属性、事件、方法函数详解以及配置
  10. 华为鸿蒙手机开机动画,华为“鸿蒙”来了!开机动画美炸了,用PPT一分钟就搞定...
  11. linux之grep使用技巧
  12. mac搜索文件什么都没有,是为什么
  13. Centos 6.4 /var/log/secure 日志不记录问题
  14. linux添加mysql到服务_Linux下将MySQL服务添加到服务器的系统服务中
  15. 三、Serializer序列化器
  16. java jbutton 省略号_JButton显示省略号
  17. 测试移动硬盘的真实容量的软件,移动硬盘容量标识有猫腻:实际缩水99%
  18. MYSQL实现排序分组取第一条sql
  19. 百万“悬赏” | 2022光合组织AI解决方案大赛Wanted You!
  20. 计算机无法完成更新如何处理,Win10更新过程中碰到“无法完成更新”怎么办

热门文章

  1. 重新认识javascript的settimeout和异步
  2. efs解密-Advanced EFS Data Recovery2.1-含注册KEY
  3. 关于学习新知识的一点想法
  4. Spring bean注入方式
  5. onSingleTapUp()和onSingleTapConfirmed()的区别
  6. 实现100以内的素数输出(Python与C++对比)
  7. RMAN备份学习笔记
  8. 浅谈 js 正则字面量 与 new RegExp 执行效率
  9. 给Android SDK设置环境变量
  10. sql出现无法启动(model数据库)