BadAlloc 漏洞

2021 年 4 月下旬，微软研究人员透露，BadAlloc 漏洞正在广泛的影响物联网设备和供应商。Microsoft 将该漏洞描述为可能允许攻击者执行任意代码。2021 年 5 月之前开始缓解和传递漏洞可能对客户产生的影响以及补救途径。

尽管黑莓的操作系统安装在多个行业，包括关键基础设施、美国联邦政府、汽车、工业控制和医疗设备，但该公司似乎认为这场大风不会影响其业务。

美国施压黑莓

黑莓于 2021 年 8 月 17 日发布了其公告。该公告直接说明了 4 月份发现的漏洞在 8 月份被披露的事实。但是，它确实注意到，如果使用 QNX 的人没有通过提供的补丁缓解威胁，那么对于此漏洞没有已知的解决方法。

黑莓受到了美国网络安全和基础设施安全局(CISA)的影响。多家媒体报道称，CISA是不遗余力地让黑莓公开披露这一漏洞，而不是简单地通知将操作系统嵌入产品的合作伙伴。

据 Politico 报道，黑莓辩称，它无法了解客户如何使用其产品。事实上，该公司坚持称它保留了“我们的客户名单，并就这个问题积极与这些客户进行了沟通。软件补丁通信直接发生在我们的客户身上。”

黑莓公告发布后，CISA 发布了自己的公告，并适当强调了缓解跨政府机构和国家关键基础设施公司的需求，包括与美国海岸警卫队和美国核管理委员会有关的公司；两个实体都向其领域内的受影响实体发布了自己的建议。

未修补的漏洞不仅影响工业控制和汽车应用，还影响了大量医疗设备。在黑莓坦白后，美国食品和药物管理局再次发布了自己的建议，并强调该漏洞可能“给某些医疗设备和药品制造设备带来风险”。FDA 的公告明确指出，黑莓 QNX 漏洞导致的暴露范围尚不清楚。FDA 已敦促受影响的人立即与其联系，并识别出被认为易受攻击的产品设备和系统。

CISA 和 FDA 都很快指出，目前尚未确认任何与黑莓漏洞相关的不良事件。

黑莓是否躲过了一劫？

不管黑莓在整理其面向公众的措辞时是否躲过了这场风波，底线都是这家加拿大公司要花时间，需要美国政府督促它做正确的事情。他们现在面临舆论的炮轰。有待观察的是，鉴于医疗保健部门内存在的设备未修补或缓解的漏洞，不知道FDA 是否会采取罚款和其他措施来解决。

所有 CISO 的收获是显而易见的：制造商和消费者都想知道，当他们信任的公司发现漏洞时，受信任的实体会及时、直接地让他们知道漏洞。一旦信任被打破，就很难修复。（本文出自SCA安全通信联盟，转载请注明出处。）