儘管企業通常不願公開披露軟件漏洞,但若沒有外界的壓力,終端軟硬件客戶很可能要等待很久,才能拿到官方的修復補丁。以黑莓為例,在美國國土安全部介入數月之後,該公司終於在本周二正式披露了位於其 QNX 操作系統中的一個 BadAlloc 安全漏洞。
(來自:BlackBerry 官網)
考慮到年邁的 QNX 操作系統有被大量工廠機械、醫療、鐵路、汽車、甚至國際空間站上的部分設備所使用,若被被惡意行為者利用 BadAlloc 安全漏洞發起攻擊,後果將不堪設想。
尷尬的是,儘管黑莓一直拖到本周才承認該漏洞,但微軟安全研究人員早在今年 4 月份就發現了它,並向參與研究的公司進行了通報。
5 月,微軟還在國土安全部網絡安全與基礎設施安全局(CISA)的幫助下公開披露了該漏洞。
Politico 援引內部消息人士的話稱,在與聯邦網絡安全官員的會談中,黑莓曾否認自家產品有受到 BadAlloc 安全漏洞的影響。此外即使無法識別整個 QNX 客戶群,黑莓還是拒絕向公眾披露該安全漏洞。
據說在最終同意於周二發出安全公告之前,該公司已就相關問題同 CISA 進行了反覆討論。現在,黑莓已經完成了 BadAlloc 安全漏洞的修復,並且正在敦促客戶更新到最新版本的 QNX 軟件。
慶幸的是,儘管 CISA 也發出了警告,但目前似乎並無跡象表明該漏洞有被人在野外積極利用。