Kritische Lücke in Blackberry QNX OS gefährdet medizinische Geräte
Blackberry hat in seinem Echtzeitbetriebssystem QNX einer gefährliche Schwachstelle geschlossen.
Angreifer könnten eingebettete Systeme mit dem Echtzeitbetriebssystem QNX von Blackberry attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitspatches für verschiedene QNX-Ausgaben stehen zum Download bereit. Das System kommt weltweit in etwa Millionen Autos, Industriekontrollanlagen, der Luft- und Raumfahrt und medizinischen Geräten zum Einsatz.
Systeme schützen
In einer Warnmeldung von Blackberry steht, dass der Fehler in der calloc()
-Funktion der C-Runtime-Library zu finden ist. Die BadAlloc-Sicherheitslücke (CVE-2021-22156) ist als "kritisch" eingestuft. Damit Angreifer an der Schwachstelle ansetzen können, müssen sie die Kontrolle über die Parameter der calloc()
-Funktion haben und wissen, welcher Speicherbereich angesprochen wird. Wie das im Detail funktionieren kann, ist zurzeit nicht bekannt.
Klappt eine Attacke, führt das zu einem Speicherfehler (integer overflow). Das löst einen DoS-Zustand aus. Darüber kann aber auch Schadcode auf Systeme gelangen. Davon sind die QNX-Ausgaben QNX Software Develmopment Plamtform (SDP) bis einschließlich 6.5.0SP1, QNX OS Medcial 1.1 und QNX OS for Safety 1.0.1 betroffen.
Die Entwickler geben an, die Lücke in den folgenden Versionen geschlossen zu haben:
- QNX SDP 6.5.0 SP1 Patch ID 4844
- QNX SDP 6.6.0
- QNX OS for Medical 1.0 oder 1.1 Patch ID 4846
- QNX OS for Medical 1.1.1
- QNX OS for Safety 1.0.2
[UPDATE 19.08.2021 08:30 Uhr]
Einsatzgebiete von QNX und Bezeichnung der Lücke im Fließtext eingebaut. Warnmeldung von Blackberry verlinkt.
(des)