据路透社及美国Politico网站18日报道,美国网络安全和基础设施安全局(CISA)及美国食品和药物管理局(FDA)周二(17日)发出警告,加拿大黑莓科技公司设计的一款软件存在网络安全漏洞,可能会使使用该软件的汽车和医疗设备面临风险,并将高度敏感的系统暴露给攻击者。
美联社图
两家美国机构发出警告
据悉,在周二早些时候,黑莓公司公开发布声明称,其QNX实时操作系统存在漏洞。该漏洞可能允许攻击者执行任意代码或用流量攻击服务器,直至其崩溃或瘫痪。随后,CISA及FDA两家美国机构发出了警告。
报道称,德国大众汽车公司、德国宝马汽车公司和美国福特汽车公司等多家汽车制造商的许多关键功能都使用了这款软件,包括高级驾驶员辅助系统。
黑莓表示,QNX实时操作系统的当前或最新版本不存在该缺陷,受影响的是2012年及更早的版本。黑莓同时表示,目前没有客户表示他们受到了影响。
隶属于美国国土安全部的CISA表示,该软件被广泛用于各种产品中,可能导致恶意行为者获得对高度敏感系统的控制权,增加国家关键职能面临的风险。CISA和黑莓公司表示,他们尚未发现任何主动利用该漏洞的案例。
FDA表示,医疗设备制造商正在评估哪些系统可能受到影响,目前暂未发现任何不良事件。黑莓公司称,已通知受到影响的潜在客户,并已提供软件补丁来解决该问题。
黑莓公司被指隐瞒数月
黑莓因制造具有手动键盘的老式智能手机广为人知,但近年来它已成为工业设备软件的主要供应商。
路透社图
美国政治新闻网站Politico援引两名知情人士的话称,黑莓最初否认这个被称为BadAlloc的漏洞对其产品有影响,后来又一直拒绝公开宣布这一重大缺陷,隐瞒了数月之久。
据悉,美国微软公司的安全研究人员在今年4月宣布,他们在多家公司的操作系统和软件中发现了BadAlloc漏洞。今年5月,其中许多公司与CISA合作,公开披露该漏洞并敦促用户进行修补,但黑莓不在其中。
今年早些时候,黑莓公司代表私下告诉 CISA,他们不相信BadAlloc对他们的产品有影响。在过去的几个月里,CISA一直敦促黑莓,并最终让其承认存在漏洞。然而黑莓表示,它不打算公开解决这个问题,并计划私下联系其直接客户,向他们发出警告。但随着时间的推移,一名 CISA员工称,黑莓“意识到公开有更多的好处”。数周前,黑莓同意发布公告。
上游新闻 蒋明静 编译
【免责声明】上游新闻客户端未标有“来源:上游新闻-重庆晨报”或“上游新闻LOGO、水印的文字、图片、音频视”等稿件均为转载稿。如转载稿涉及版权等问题,请联系上游。
