QNX: Blackberry verschweigt Sicherheitslücke über mehrere Monate

Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.

Artikel veröffentlicht am ,
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen.
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen. (Bild: Mike Blake/File Photo/Reuters)

In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet.

Stellenmarkt
  1. Field Service Engineer oder IT-Systemelektronikern oder Informationselektroniker (m/w/d)
    IPB Internet Provider in Berlin GmbH, Berlin
  2. SAP SD Berater (Inhouse) (m/w/d)
    Hays AG, Aalen
Detailsuche

Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt.

Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.

Langer Weg zur Ankündigung Blackberrys

Erste öffentliche Informationen zu den Lücken gab es bereits Ende April diesen Jahres durch Microsoft. Eine öffentliche Warnung folgte im Mai. Laut dem Bericht von Politico, der sich unter anderem auf Regierungsbeamte beruft, hat Blackberry anfangs aber noch bestritten, dass sein System QNX überhaupt betroffen sei. Und das, obwohl die zuständige Behörde, die Cyber Security and Information Security Agency (CISA), davon ausgegangen ist, dass QNX ebenfalls von Bad Alloc betroffen ist.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

QNX wird in sehr vielen verschiedenen Bereichen eingesetzt, dazu gehören Industriemaschinen oder medizinische Geräte sowie Eisenbahnen oder Autos. Da hierbei meist Drittanbieter QNX um eigene Anwendungen erweitern und dies an die Industrie weiterverkaufen, ist laut dem Bericht selbst Blackberry nicht klar, wo genau das System überhaupt eingesetzt wird. Dennoch wollte Blackberry auf eine öffentliche Warnung vor der Lücke verzichten und nur seine Kunden über nicht-öffentliche Kanäle warnen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich ist die Warnung von Blackberry und der CISA nun doch noch veröffentlicht worden, aber erst rund drei Monate später als bei vielen anderen. Die zum Department of Homeland Security gehörende CISA musste Blackberry dem Bericht zufolge aber zu diesem Schritt drängen, da das Ministerium die nationale Sicherheit gefährdet sah.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geekbench & GFXBench
Erste Benchmarks zeigen starken Apple M1 Max

Das Apple Silicon schneidet gut ab: Der M1 Max legt sich tatsächlich mit einer Geforce RTX 3080 Mobile und den schnellsten Laptop-CPUs an.

Geekbench & GFXBench: Erste Benchmarks zeigen starken Apple M1 Max
Artikel
  1. Google: Chrome 95 entfernt FTP endgültig
    Google
    Chrome 95 entfernt FTP endgültig

    Nach mehr als zwei Jahren Arbeit ist Schluss mit dem FTP-Support in Chrome. Das Team testet auch das Ende der bisherigen User Agents.

  2. Windows 11: User wollen separate Fenster in der Taskleiste zurück
    Windows 11
    User wollen separate Fenster in der Taskleiste zurück

    Windows 11 gruppiert Instanzen einer App zusammen und streicht die Möglichkeit, sie separat anzuzeigen. Das gefällt der Community gar nicht.

  3. Microsoft: Windows 11 läuft auf uraltem Pentium 4
    Microsoft
    Windows 11 läuft auf uraltem Pentium 4

    Zwei logische Kerne und über 1 GHz: Der Pentium 4 hat alles, was Windows 11 benötigt - denn Secure Boot und TPM 2.0 lassen sich umgehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • HP Herbst Sale bei NBB: Bis zu 500€ Rabatt auf Gaming-Notebooks, Monitore uvm. • PS5 & Xbox Series X vereinzelt bestellbar • Kingston RGB 32GB Kit 3200 116,90€ • LG OLED48A19LA 756,29€ • Finale des GP Anniversary Sales • Amazon Music 3 Monate gratis • Saturn Gutscheinheft [Werbung]
    •  /