遠程代碼執行漏洞現身運行內嵌式系統的流行操作系統

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：在主要用於智能家居及關鍵基礎設施系統中的大部分微處理器與單片機的開源操作系統FreeRTOS中，已發現13個漏洞，其中三分之一可用來執行遠程代碼。

這些存在於TCP/IP協議棧的漏洞感染了由亞馬遜維護的FreeRTOS衍生系統，及由WITTENSTEIN高集成系統(WHIS)維護的OpenRTOS 與 SafeRTOS系統，這些系統是適用於MIT許可證的商業產品變體。

安全公司辛培力安（Zimperium）的奧利·卡里班（Ori Karliner）分析了該操作系統，發現各類操作系統皆受四個遠程代碼執行漏洞、一個拒絕服務漏洞(DoS)、七個信息泄露漏洞以及另一未公開類型的安全問題影響。

受影響版本為FreeRTOS版本V10.0.1（基於FreeRTOS+TCP協議棧）、AWSFreeRTOS版本V1.3.1、OpenRTOS 以及 SafeRTOS（包含WHIS ConnectT中間件TCP/IP組件）。

亞馬遜得知該情況後，已發布補丁來緩解這些漏洞。

由安全公司辛培力安發布的一份報告可知，在接下來30天內，該公司將不再公布任何技術細節，「以確保各小型供應商順利修復這些漏洞」。

晶元公司開發該基於微內核的實時操作系統FreeRTOS已超過15年，目前該系統已成為廠商製造嵌入式設備的首要選擇。

該操作系統支持40多個硬體平台，可用於各類產品的單片機，如：溫度監測儀、電器、感測器、健身追蹤器、工業自動化系統、汽車、門鎖、電力儀錶以及任何基於微控制器的設備。

由於FreeRTOS的工作在較小範圍的組件，因此它缺乏精緻硬體所具有的複雜性。不過，它實現了一個重要的功能，因為它允許在輸入時處理數據。

大約在一年前，亞馬遜決定開發該產品，加入物聯網行業細分領域。該公司通過添加函數庫來擴展內核，以支持雲連接、雲安全及無線更新。

以下是感染FreeRTOS的全部漏洞及其標識碼列表：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！