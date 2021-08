Angreifer könnten eingebettete Systeme mit dem Echtzeitbetriebssystem QNX von Blackberry attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitspatches für verschiedene QNX-Ausgaben stehen zum Download bereit.

Systeme schützen

In einer Warnmeldung von Blackberry steht, dass der Fehler in der calloc() -Funtkion der C-Runtime-Library zu finden ist. Die Sicherheitslücke (CVE-2021-22156) ist als "kritisch" eingestuft. Damit Angreifer an der Schwachstelle ansetzen können, müssen sie die Kontrolle über die Parameter der calloc() -Funktion haben und wissen, welcher Speicherbereich angesprochen wird. Wie das im Detail funktionieren kann, ist zurzeit nicht bekannt.

Klappt eine Attacke, führt das zu einem Speicherfehler (integer overflow). Das löst einen DoS-Zustand aus. Darüber kann aber auch Schadcode auf Systeme gelangen. Davon sind die QNX-Ausgaben QNX Software Develmopment Plamtform (SDP) bis einschließlich 6.5.0SP1, QNX OS Medcial 1.1 und QNX OS for Safety 1.0.1 betroffen.

Die Entwickler geben an, die Lücke in den folgenden Versionen geschlossen zu haben:

QNX SDP 6.5.0 SP1 Patch ID 4844

QNX SDP 6.6.0

QNX OS for Medical 1.0 oder 1.1 Patch ID 4846

QNX OS for Medical 1.1.1

QNX OS for Safety 1.0.2

(des)