В BlackBerry QNX для автомобилей и медоборудования нашли уязвимость

Наличие уязвимости BadAlloc, которая позволяет получить контроль над устройством, в старых версиях операционной системы (ОС) QNX подтвердила компания BlackBerry, 18 августа передает Politico.

Операционная система BlackBerry QNX поставляется не конечным пользователям, а лицензируется производителями оборудования. Из-за этого изначально компания хотела сохранить в тайне наличие ошибки и решить вопрос в переговорах именно с производителями. Тогда бы владельцы устройств с QNX вообще не узнали бы о существовании уязвимости.

А QNX лицензирована для использования в широком модельном ряду автомобилей множества разных производителей. Также она применяется в медицинском оборудовании. Компания Boston Dynamics, например, использует ее в своем четырехногом роботе BigDog.

В апреле 2021 года специалисты компании Microsoft обнаружили группу уязвимостей, которые связанны с управлением памятью в устройствах и которые затронули широкий круг различных отраслевых сегментов Интернета. Тогда в BlackBerry заявили, что «не верят» в то, что их операционная система подвержена этому недостатку.

Позже Агентству кибербезопасности и защиты инфраструктуры (CISA) при Агентстве национальной безопасности США удалось обнаружить, что старые версии QNX все-таки подвержены ошибке BadAlloc. После этого открытия CISA убедила компанию BlackBerry объявить о уязвимости публично.

Представители BlackBerry в своем заявлении утверждают, что им не известны случаи, когда уязвимостью бы воспользовался какой-нибудь злоумышленник. Однако и компания, и CISA призывают организации, которые используют QNX в своих продуктах, выложить закрывающее уязвимость обновление для устройств конечных пользователей.