拖延數(shù)月，黑莓終于修復了QNX操作系統(tǒng)的BadAlloc安全漏洞。盡管企業(yè)通常不愿公開披露軟件漏洞，但若沒有外界的壓力，終端軟硬件客戶很可能要等待很久，才能拿到官方的修復補丁。以黑莓為例，在美國國土安全部介入數(shù)月之后，該公司終于在本周二正式披露了位于其 QNX 操作系統(tǒng)中的一個 BadAlloc 安全漏洞。

　　幾個月來，黑莓操作系統(tǒng)的BadAlloc安全漏洞一直存在漏洞，該漏洞使 2 億輛汽車以及醫(yī)院和工廠的系統(tǒng)處于危險之中。

　　“這確實引發(fā)了一場新的辯論。在任何情況下，將如此廣泛的漏洞保密是有益的嗎？” NTT 應用安全戰(zhàn)略副總裁 Setu Kulkarni 說。“畢竟，與物理對抗性威脅不同，網絡威脅無法被邊界或條約看到或遏制。在這種情況下，越早披露，就能越早推出預防措施?！?/p>

　　BadAlloc 漏洞于去年 4 月由微軟研究人員首次發(fā)現(xiàn)，他們在多家公司的操作系統(tǒng)和軟件中發(fā)現(xiàn)了該漏洞。一個月后，網絡安全和基礎設施安全局 （CISA） 的公告警告必須修補該漏洞。但黑莓直到周二才發(fā)現(xiàn)其 QNX 操作系統(tǒng)存在漏洞，且并沒有采取行動或公開警告組織。

　　BlackBerry QNX 軟件開發(fā)平臺 （SDP） 6.5.0SP1 及更早版本、QNX OS for Medical 1.1 及更早版本和 QNX OS for Safety 1.0.1受影響版本中運行時庫的calloc（）函數(shù)中的整數(shù)溢出漏洞。黑莓表示，早些時候“可能允許成功的攻擊者執(zhí)行拒絕服務或執(zhí)行任意代碼”，并強調沒有證據(jù)表明該漏洞已被利用。

　　黑莓的披露引發(fā)了 CISA 的警告，該警告指出黑莓 QNX RTOS 存在于廣泛的產品中。該機構表示，妥協(xié)“可能導致惡意行為者控制高度敏感的系統(tǒng)，增加國家關鍵職能的風險?！?/p>

　　CISA 敦促產品使用易受攻擊版本的制造商聯(lián)系黑莓獲取補丁。“開發(fā)獨特版本的 RTOS 軟件的產品制造商應該聯(lián)系黑莓以獲取補丁代碼，”警報說。

　　該公司表示，將 BadAlloc 保密的理由聽起來很可疑，但它表示“一旦調查完成并發(fā)布軟件更新”，就會發(fā)布安全公告，但確實提供了鼓勵用戶實施的更新。

　　隨著對供應鏈的一次又一次攻擊，黑莓不愿上市是難以理解的。BreachQuest 的首席信息安全官 AJ King 表示：“這種硬碰硬的方法繼續(xù)卷土重來?！?“軟件供應鏈問題現(xiàn)在是主流，是敲詐勒索軟件和僵尸網絡的門戶藥物。”

　　King 指出：“與提前采取主動措施向消費者表明您正在盡一切努力保護他們的數(shù)據(jù)（在這種情況下，他們的物理安全）安全相比，被迫披露總是更糟糕?！?他主張“讓經驗豐富的安全主管在談判桌前占有一席之地，并確保他們直接向董事會負責。” 金說，這是朝著“破壞盡可能長時間保持安靜的有毒管理文化”邁出的良好第一步。

　　Kulkarni 承認黑莓可能已經將信息披露視為“在使用 QNX 的設備上描繪目標”，他爭辯說，假設“網絡犯罪分子在這個時代等待信息披露是幼稚的”。

　　由于拜登總統(tǒng)簽署了關于緩解供應鏈風險的行政命令（EO），“信息共享的推動力增強了——這應該是大多數(shù)（如果不是全部）披露的前進方法，尤其是當沒有全面的信息披露時Kulkarni 說：”我們可以私下接觸擁有數(shù)億個系統(tǒng)使用其組件的制造商。“

　　黑莓從私人披露轉向公開披露，這表明黑莓確定無法完全估計其 QNX 系統(tǒng)的擴散程度，”他說。“此外，鑒于 BadAlloc 的披露已經公開，較早的披露可能會加快預防措施，以防止基于 QNX 的系統(tǒng)上或通過 QNX 系統(tǒng)進行漏洞利用?！?/p>

　　不幸的是，黑莓沉默的代價可能是以聲譽資本為代價的?！八麄儾辉僦皇鞘艽寺┒从绊懙墓久麊紊系牧硪患夜?，他們現(xiàn)在有一個故事，專門講述他們有意做出的將影響降至最低的決定，”金說。“在當今世界，沒有人期望完美。事情發(fā)生。但是，在您的業(yè)務實踐中表現(xiàn)出您的誠信并保持問責制將使您與競爭對手區(qū)分開來。如果我從 BlackBerry 采購，我會問自己，‘他們還隱藏了什么？’”