Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

QNX: Blackberry verschweigt Sicherheitslücke über mehrere Monate

Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.
/ Sebastian Grüner
4 Kommentare News folgen (öffnet im neuen Fenster)
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen. (Bild: Mike Blake/File Photo/Reuters)
Blackberry wollte eine Lücke in QNX wohl erst nicht öffentlich ankündigen. Bild: Mike Blake/File Photo/Reuters

In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico(öffnet im neuen Fenster) berichtet.

Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung ( malloc , calloc , realloc , usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt(öffnet im neuen Fenster) .

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme(öffnet im neuen Fenster) , die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.

Langer Weg zur Ankündigung Blackberrys

Erste öffentliche Informationen zu den Lücken gab es bereits Ende April diesen Jahres durch Microsoft. Eine öffentliche Warnung folgte im Mai. Laut dem Bericht von Politico, der sich unter anderem auf Regierungsbeamte beruft, hat Blackberry anfangs aber noch bestritten, dass sein System QNX überhaupt betroffen sei. Und das, obwohl die zuständige Behörde, die Cyber Security and Information Security Agency (CISA), davon ausgegangen ist, dass QNX ebenfalls von Bad Alloc betroffen ist.

QNX wird in sehr vielen verschiedenen Bereichen eingesetzt, dazu gehören Industriemaschinen oder medizinische Geräte sowie Eisenbahnen oder Autos. Da hierbei meist Drittanbieter QNX um eigene Anwendungen erweitern und dies an die Industrie weiterverkaufen, ist laut dem Bericht selbst Blackberry nicht klar, wo genau das System überhaupt eingesetzt wird. Dennoch wollte Blackberry auf eine öffentliche Warnung vor der Lücke verzichten und nur seine Kunden über nicht-öffentliche Kanäle warnen.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Letztlich ist die Warnung von Blackberry(öffnet im neuen Fenster) und der CISA(öffnet im neuen Fenster) nun doch noch veröffentlicht worden, aber erst rund drei Monate später als bei vielen anderen. Die zum Department of Homeland Security gehörende CISA musste Blackberry dem Bericht zufolge aber zu diesem Schritt drängen, da das Ministerium die nationale Sicherheit gefährdet sah.

Zur Startseite 4 Kommentare

Relevante Themen

Technik/HardwareMobile EndgeräteSoftwareBetriebssystemeSecuritySicherheitslückeBlackberry