QNX: Blackberry verschweigt Sicherheitslücke über mehrere Monate

Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.

Artikel veröffentlicht am ,
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen.
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen. (Bild: Mike Blake/File Photo/Reuters)

In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet.

Stellenmarkt
  1. Leiter Programm-Management (m/w/d) für die unternehmensweite Einführung von Microsoft Dynamics ... (m/w/d)
    Bw Bekleidungsmanagement GmbH, Köln
  2. Digitalisierungsbeauftragter (m/w/d)
    Magistrat der Stadt Bad Soden am Taunus, Bad Soden am Taunus
Detailsuche

Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt.

Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.

Langer Weg zur Ankündigung Blackberrys

Erste öffentliche Informationen zu den Lücken gab es bereits Ende April diesen Jahres durch Microsoft. Eine öffentliche Warnung folgte im Mai. Laut dem Bericht von Politico, der sich unter anderem auf Regierungsbeamte beruft, hat Blackberry anfangs aber noch bestritten, dass sein System QNX überhaupt betroffen sei. Und das, obwohl die zuständige Behörde, die Cyber Security and Information Security Agency (CISA), davon ausgegangen ist, dass QNX ebenfalls von Bad Alloc betroffen ist.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

QNX wird in sehr vielen verschiedenen Bereichen eingesetzt, dazu gehören Industriemaschinen oder medizinische Geräte sowie Eisenbahnen oder Autos. Da hierbei meist Drittanbieter QNX um eigene Anwendungen erweitern und dies an die Industrie weiterverkaufen, ist laut dem Bericht selbst Blackberry nicht klar, wo genau das System überhaupt eingesetzt wird. Dennoch wollte Blackberry auf eine öffentliche Warnung vor der Lücke verzichten und nur seine Kunden über nicht-öffentliche Kanäle warnen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich ist die Warnung von Blackberry und der CISA nun doch noch veröffentlicht worden, aber erst rund drei Monate später als bei vielen anderen. Die zum Department of Homeland Security gehörende CISA musste Blackberry dem Bericht zufolge aber zu diesem Schritt drängen, da das Ministerium die nationale Sicherheit gefährdet sah.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /