拖延數(shù)月,，黑莓終于修復了QNX操作系統(tǒng)的BadAlloc安全漏洞。盡管企業(yè)通常不愿公開披露軟件漏洞,，但若沒有外界的壓力,，終端軟硬件客戶很可能要等待很久，才能拿到官方的修復補丁,。以黑莓為例,，在美國國土安全部介入數(shù)月之后，該公司終于在本周二正式披露了位于其 QNX 操作系統(tǒng)中的一個 BadAlloc 安全漏洞,。

　　幾個月來,，黑莓操作系統(tǒng)的BadAlloc安全漏洞一直存在漏洞，該漏洞使 2 億輛汽車以及醫(yī)院和工廠的系統(tǒng)處于危險之中,。

　　“這確實引發(fā)了一場新的辯論,。在任何情況下，將如此廣泛的漏洞保密是有益的嗎,？” NTT 應用安全戰(zhàn)略副總裁 Setu Kulkarni 說,。“畢竟,，與物理對抗性威脅不同,，網(wǎng)絡威脅無法被邊界或條約看到或遏制。在這種情況下,，越早披露,，就能越早推出預防措施?！?/p>

　　BadAlloc 漏洞于去年 4 月由微軟研究人員首次發(fā)現(xiàn),，他們在多家公司的操作系統(tǒng)和軟件中發(fā)現(xiàn)了該漏洞,。一個月后，網(wǎng)絡安全和基礎設施安全局 （CISA） 的公告警告必須修補該漏洞。但黑莓直到周二才發(fā)現(xiàn)其 QNX 操作系統(tǒng)存在漏洞,，且并沒有采取行動或公開警告組織。

　　BlackBerry QNX 軟件開發(fā)平臺 （SDP） 6.5.0SP1 及更早版本,、QNX OS for Medical 1.1 及更早版本和 QNX OS for Safety 1.0.1受影響版本中運行時庫的calloc（）函數(shù)中的整數(shù)溢出漏洞,。黑莓表示，早些時候“可能允許成功的攻擊者執(zhí)行拒絕服務或執(zhí)行任意代碼”,，并強調沒有證據(jù)表明該漏洞已被利用,。

　　黑莓的披露引發(fā)了 CISA 的警告，該警告指出黑莓 QNX RTOS 存在于廣泛的產品中,。該機構表示,，妥協(xié)“可能導致惡意行為者控制高度敏感的系統(tǒng)，增加國家關鍵職能的風險,?！?/p>

　　CISA 敦促產品使用易受攻擊版本的制造商聯(lián)系黑莓獲取補丁,。“開發(fā)獨特版本的 RTOS 軟件的產品制造商應該聯(lián)系黑莓以獲取補丁代碼,，”警報說,。

　　該公司表示，將 BadAlloc 保密的理由聽起來很可疑,，但它表示“一旦調查完成并發(fā)布軟件更新”,，就會發(fā)布安全公告，但確實提供了鼓勵用戶實施的更新,。

　　隨著對供應鏈的一次又一次攻擊,，黑莓不愿上市是難以理解的。BreachQuest 的首席信息安全官 AJ King 表示：“這種硬碰硬的方法繼續(xù)卷土重來,?！?“軟件供應鏈問題現(xiàn)在是主流，是敲詐勒索軟件和僵尸網(wǎng)絡的門戶藥物,?！?/p>

　　King 指出：“與提前采取主動措施向消費者表明您正在盡一切努力保護他們的數(shù)據(jù)（在這種情況下，他們的物理安全）安全相比,，被迫披露總是更糟糕,。” 他主張“讓經驗豐富的安全主管在談判桌前占有一席之地,，并確保他們直接向董事會負責,。” 金說,，這是朝著“破壞盡可能長時間保持安靜的有毒管理文化”邁出的良好第一步,。

　　Kulkarni 承認黑莓可能已經將信息披露視為“在使用 QNX 的設備上描繪目標”，他爭辯說,，假設“網(wǎng)絡犯罪分子在這個時代等待信息披露是幼稚的”,。

　　由于拜登總統(tǒng)簽署了關于緩解供應鏈風險的行政命令（EO），“信息共享的推動力增強了——這應該是大多數(shù)（如果不是全部）披露的前進方法,，尤其是當沒有全面的信息披露時Kulkarni 說：”我們可以私下接觸擁有數(shù)億個系統(tǒng)使用其組件的制造商,。“

　　黑莓從私人披露轉向公開披露,，這表明黑莓確定無法完全估計其 QNX 系統(tǒng)的擴散程度,，”他說?！按送?，鑒于 BadAlloc 的披露已經公開，較早的披露可能會加快預防措施，以防止基于 QNX 的系統(tǒng)上或通過 QNX 系統(tǒng)進行漏洞利用,?！?/p>

　　不幸的是，黑莓沉默的代價可能是以聲譽資本為代價的,?！八麄儾辉僦皇鞘艽寺┒从绊懙墓久麊紊系牧硪患夜荆麄儸F(xiàn)在有一個故事,，專門講述他們有意做出的將影響降至最低的決定,，”金說,?！霸诋斀袷澜纾瑳]有人期望完美,。事情發(fā)生,。但是，在您的業(yè)務實踐中表現(xiàn)出您的誠信并保持問責制將使您與競爭對手區(qū)分開來,。如果我從 BlackBerry 采購,，我會問自己，‘他們還隱藏了什么,？’”