提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

CISA发布了一份关于一系列黑莓产品受BadAlloc漏洞影响的警报，微软研究人员在今年早些时候关注了该漏洞。

周二，黑莓发布了一份公告，解释其QNX实时操作系统——用于医疗设备、汽车、，工厂甚至国际空间站都可能受到BadAlloc的影响，BadAlloc是影响多个RTOS和支持库的漏洞集合。黑莓最近吹嘘QNX实时操作系统在2亿辆汽车上使用。

CISA补充说，物联网设备、操作技术和一些工业控制系统都采用了QNX实时操作系统，因此迫切需要采取措施保护系统。BlackBerry发布了受影响产品的完整列表。

“远程攻击者可以利用CVE-2021-22156在受影响的设备上造成拒绝服务情况或执行任意代码。黑莓QNX RTOS被广泛应用于各种产品中，其危害可能导致恶意行为者获得对高度敏感系统的控制权，从而增加国家关键功能的风险，”CISA的警报称。

“目前，CISA尚未意识到有人在积极利用此漏洞。CISA强烈鼓励关键基础设施组织和其他组织开发、维护、支持或使用受影响的基于QNX的系统，以尽快修补受影响的产品。“

警报接着解释说，该漏洞涉及“影响多个BlackBerry QNX产品的C运行时库中calloc（）函数的整数溢出漏洞。”

让威胁参与者利用该漏洞，他们需要“控制calloc（）函数调用的参数，并能够控制分配后访问的内存。”

如果有漏洞的产品正在运行且受影响的设备暴露在互联网上，则网络访问将允许攻击者远程利用此漏洞，CISA补充道。

该漏洞会影响每个依赖于C运行时库的BlackBerry程序。

CISA警告说，由于受该漏洞影响的许多设备都是“安全关键的”，“潜在的攻击可能会使网络攻击者控制管理基础设施或其他关键平台的系统。

“CISA强烈鼓励关键基础设施组织和其他组织开发、维护、支持、，或者使用受影响的基于QNX的系统尽快修补受影响的产品，”警报说。

“包含易受攻击版本的产品制造商应联系BlackBerry获取修补程序。开发RTOS软件独特版本的产品制造商应联系BlackBerry获取补丁代码，”CISA解释道，补充说，一些组织可能必须创建自己的软件补丁。

据CISA称，RTO的一些软件更新需要删除设备或将其带到非现场位置，以便物理更换集成内存。

黑莓在其自己的版本中表示，他们尚未看到使用的漏洞。该公司建议该产品的用户确保“只有使用RTO的应用程序使用的端口和协议可以访问，并阻止所有其他端口。”

“遵循网络分段、漏洞扫描、，以及适合在您的网络安全环境中使用QNX产品的入侵检测最佳实践，以防止恶意或未经授权访问易受攻击的设备，”BlackBerry的通知说。

BlackBerry表示，没有解决该漏洞的方法，但他们指出，用户可以“通过使ASLR能够随机化进程段地址来减少攻击的可能性。”

该通知包括黑莓为解决该漏洞而发布的一些更新。微软在四月份表示，BadAlloc覆盖了超过25个CVE，并可能影响广泛的领域，从消费者和医疗物联网到工业物联网，Politico报道了自4月份BadAlloc漏洞被披露以来，黑莓与美国政府官员之间的幕后纠纷。

据称，黑莓否认该漏洞影响了其产品，并抵制政府发布有关该问题的公告。当政府官员询问时，黑莓甚至不知道有多少组织在使用QNX实时操作系统，迫使他们与政府一起努力宣传该漏洞。

CISA官员与受影响的行业，甚至国防部就QNX系统的安全通知进行协调，据Politico称，CISA还将向外国官员简要介绍该漏洞。

黑莓在6月份表示，QNX特许权使用费收入积压在2022财年第一季度末已增至4.9亿美元。该公司吹嘘说，它被用于Aptiv、宝马、博世、福特等公司生产的数百万辆汽车，通用汽车、本田、梅赛德斯-奔驰、丰田和大众。

Fortinet抨击Rapid7在90天窗口结束前披露漏洞

发布了针对Fortinet命令注射漏洞的补丁

CES 2022，要求与会者提供疫苗接种证明

Colonial Pipeline向超过5位，000勒索软件组访问SSN后，通过注册，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意从CBS famil接收更新、提醒和促销公司简介-包括ZDNet今日技术更新和ZDNet公告通讯。您可以随时取消订阅

2023-03-22 10:04:41