Blackberry verschweigt Sicherheitslücke über mehrere Monate
Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.
In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet.
Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt.
Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.
https://www.golem.de/news/qnx-blackberry-verschweigt-sicherheitsluecke-ueber-mehrere-monate-2108-158958.html
#sicherheitslücken #blackberry
📡@cRyPtHoN_INFOSEC_FR
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_DE
📡@BlackBox_Archiv
Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.
In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet.
Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt.
Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden.
https://www.golem.de/news/qnx-blackberry-verschweigt-sicherheitsluecke-ueber-mehrere-monate-2108-158958.html
#sicherheitslücken #blackberry
📡@cRyPtHoN_INFOSEC_FR
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_DE
📡@BlackBox_Archiv
Golem.de
Blackberry verschweigt Sicherheitslücke über mehrere Monate
Eine kritische Sicherheitslücke ermöglicht Codeausführung in vielen Systemen. Eine öffentliche Warnung für Blackberrys QNX gibt es aber erst Monate später.