盡管企業(yè)通常不愿公開披露軟件漏洞，但若沒有外界的壓力，終端軟硬件客戶很可能要等待很久，才能拿到官方的修復(fù)補(bǔ)丁。以黑莓為例，在美國國土安全部介入數(shù)月之后，該公司終于在本周二正式披露了位于其 QNX 操作系統(tǒng)中的一個 BadAlloc 安全漏洞。

（來自：BlackBerry?官網(wǎng)）

考慮到年邁的 QNX 操作系統(tǒng)有被大量工廠機(jī)械、醫(yī)療、鐵路、汽車、甚至國際空間站上的部分設(shè)備所使用，若被被惡意行為者利用 BadAlloc 安全漏洞發(fā)起攻擊，后果將不堪設(shè)想。

尷尬的是，盡管黑莓一直拖到本周才承認(rèn)該漏洞，但微軟安全研究人員早在今年 4 月份就發(fā)現(xiàn)了它，并向參與研究的公司進(jìn)行了通報。

5 月，微軟還在國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）的幫助下公開披露了該漏洞。

Politico 援引內(nèi)部消息人士的話稱，在與聯(lián)邦網(wǎng)絡(luò)安全官員的會談中，黑莓曾否認(rèn)自家產(chǎn)品有受到 BadAlloc 安全漏洞的影響。此外即使無法識別整個 QNX 客戶群，黑莓還是拒絕向公眾披露該安全漏洞。

據(jù)說在最終同意于周二發(fā)出安全公告之前，該公司已就相關(guān)問題同 CISA 進(jìn)行了反復(fù)討論?，F(xiàn)在，黑莓已經(jīng)完成了 BadAlloc 安全漏洞的修復(fù)，并且正在敦促客戶更新到最新版本的 QNX 軟件。

慶幸的是，盡管 CISA 也發(fā)出了警告，但目前似乎并無跡象表明該漏洞有被人在野外積極利用。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/