QNX: Blackberry verschweigt Sicherheitslücke über mehrere Monate

Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.

Artikel veröffentlicht am ,
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen.
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen. (Bild: Mike Blake/File Photo/Reuters)

In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet.

Stellenmarkt
  1. Junior Cloud Consultant (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. Projektleiter SASPF für Logistikprojekte (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Koblenz
Detailsuche

Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt.

Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.

Langer Weg zur Ankündigung Blackberrys

Erste öffentliche Informationen zu den Lücken gab es bereits Ende April diesen Jahres durch Microsoft. Eine öffentliche Warnung folgte im Mai. Laut dem Bericht von Politico, der sich unter anderem auf Regierungsbeamte beruft, hat Blackberry anfangs aber noch bestritten, dass sein System QNX überhaupt betroffen sei. Und das, obwohl die zuständige Behörde, die Cyber Security and Information Security Agency (CISA), davon ausgegangen ist, dass QNX ebenfalls von Bad Alloc betroffen ist.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
Weitere IT-Trainings

QNX wird in sehr vielen verschiedenen Bereichen eingesetzt, dazu gehören Industriemaschinen oder medizinische Geräte sowie Eisenbahnen oder Autos. Da hierbei meist Drittanbieter QNX um eigene Anwendungen erweitern und dies an die Industrie weiterverkaufen, ist laut dem Bericht selbst Blackberry nicht klar, wo genau das System überhaupt eingesetzt wird. Dennoch wollte Blackberry auf eine öffentliche Warnung vor der Lücke verzichten und nur seine Kunden über nicht-öffentliche Kanäle warnen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich ist die Warnung von Blackberry und der CISA nun doch noch veröffentlicht worden, aber erst rund drei Monate später als bei vielen anderen. Die zum Department of Homeland Security gehörende CISA musste Blackberry dem Bericht zufolge aber zu diesem Schritt drängen, da das Ministerium die nationale Sicherheit gefährdet sah.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streit mit Magnus Carlsen
Schachgroßmeister Niemann soll über 100 Mal betrogen haben

Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
Artikel
  1. Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
    Airpods Pro 2 im Test
    Apple schaltet Lärm und Konkurrenz aus

    Mit sinnvollen Änderungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
    Ein Test von Ingo Pakalski

  2. Vodafone und Telekom: Zwei Netzbetreiber melden Datenrekord auf Oktoberfest
    Vodafone und Telekom
    Zwei Netzbetreiber melden Datenrekord auf Oktoberfest

    Die Telekom liegt beim Datenvolumen klar vor Vodafone. Es gab in diesem Jahr besonders viel Roaming durch ausländische Netze.

  3. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.199€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /