In der IT-Sicherheitsindustrie gilt der Prozess des sogenannten Coordinated Disclosure eigentlich als etabliert: Lücken in Software werden gefunden, mit den betroffenen Herstellern geteilt und diese Informationen samt Update zu einem einheitlichen Zeitpunkt veröffentlicht. Im Fall der Bad-Alloc-Lücke hat sich Blackberry aber offenbar über Monate hinweg geweigert, öffentlich zuzugeben, dass das eigene System QNX betroffen ist, wie das Magazin Politico berichtet. Bei Bad Alloc handelt es sich um eine Reihe verwandter Sicherheitslücken, die eint, dass diese einen Heap-Overflow in einer Funktion zur Speicherzuweisung (malloc, calloc, realloc, usw.) verursachen. Grund dafür ist eine nicht ausreichende Eingabeüberprüfung, wie das Security-Team von Microsoft schreibt. Demnach könnten die Lücken letztlich durch Angreifer zum Ausführen von Code ausgenutzt werden oder auch das betroffene System zum Absturz bringen. Zu den angreifbaren Systemen gehörte unter anderem das von Microsoft gepflegte ThreadX ebenso wie Amazons FreeRTOS sowie eine lange Liste vieler weiterer Systeme, die vor allem im Embedded- und Industrie-Bereich eingesetzt werden. Erste öffentliche Informationen zu den Lücken gab es bereits Ende April diesen Jahres durch Microsoft. Eine öffentliche Warnung folgte im Mai. Laut dem Bericht von Politico, der sich unter anderem auf Regierungsbeamte beruft, hat Blackberry anfangs aber noch bestritten, dass sein System QNX überhaupt betroffen sei. Und das, obwohl die zuständige Behörde, die Cyber Security and Information Security Agency (CISA), davon ausgegangen ist, dass QNX ebenfalls von Bad Alloc betroffen ist. QNX wird in sehr vielen verschiedenen Bereichen eingesetzt, dazu gehören Industriemaschinen oder medizinische Geräte sowie Eisenbahnen oder Autos. Da hierbei meist Drittanbieter QNX um eigene Anwendungen erweitern und dies an die Industrie weiterverkaufen, ist laut dem Bericht selbst Blackberry nicht klar, wo genau das System überhaupt eingesetzt wird. Dennoch wollte Blackberry auf eine öffentliche Warnung vor der Lücke verzichten und nur seine Kunden über nicht-öffentliche Kanäle warnen. Letztlich ist die Warnung von Blackberry und der CISA nun doch noch veröffentlicht worden, aber erst rund drei Monate später als bei vielen anderen. Die zum Department of Homeland Security gehörende CISA musste Blackberry dem Bericht zufolge aber zu diesem Schritt drängen, da das Ministerium die nationale Sicherheit gefährdet sah.
