在主要用于智能家居及關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中的大部分微處理器與單片機(jī)的開源操作系統(tǒng)FreeRTOS中，已發(fā)現(xiàn)13個漏洞，其中三分之一可用來執(zhí)行遠(yuǎn)程代碼。

這些存在于TCP/IP協(xié)議棧的漏洞感染了由亞馬遜維護(hù)的FreeRTOS衍生系統(tǒng)，及由WITTENSTEIN高集成系統(tǒng)(WHIS)維護(hù)的OpenRTOS 與 SafeRTOS系統(tǒng)，這些系統(tǒng)是適用于MIT許可證的商業(yè)產(chǎn)品變體。

發(fā)現(xiàn)13個漏洞

安全公司辛培力安（Zimperium）的奧利·卡里班（Ori Karliner）分析了該操作系統(tǒng)，發(fā)現(xiàn)各類操作系統(tǒng)皆受四個遠(yuǎn)程代碼執(zhí)行漏洞、一個拒絕服務(wù)漏洞(DoS)、七個信息泄露漏洞以及另一未公開類型的安全問題影響。

受影響版本為FreeRTOS版本V10.0.1（基于FreeRTOS+TCP協(xié)議棧）、AWSFreeRTOS版本V1.3.1、OpenRTOS 以及 SafeRTOS（包含WHIS ConnectT中間件TCP/IP組件）。

亞馬遜得知該情況后，已發(fā)布補(bǔ)丁來緩解這些漏洞。

由安全公司辛培力安發(fā)布的一份報告可知，在接下來30天內(nèi)，該公司將不再公布任何技術(shù)細(xì)節(jié)，“以確保各小型供應(yīng)商順利修復(fù)這些漏洞”。

內(nèi)嵌式系統(tǒng)的首選

芯片公司開發(fā)該基于微內(nèi)核的實(shí)時操作系統(tǒng)FreeRTOS已超過15年，目前該系統(tǒng)已成為廠商制造嵌入式設(shè)備的首要選擇。

該操作系統(tǒng)支持40多個硬件平臺，可用于各類產(chǎn)品的單片機(jī)，如：溫度監(jiān)測儀、電器、傳感器、健身追蹤器、工業(yè)自動化系統(tǒng)、汽車、門鎖、電力儀表以及任何基于微控制器的設(shè)備。

由于FreeRTOS的工作在較小范圍的組件，因此它缺乏精致硬件所具有的復(fù)雜性。不過，它實(shí)現(xiàn)了一個重要的功能，因?yàn)樗试S在輸入時處理數(shù)據(jù)。

大約在一年前，亞馬遜決定開發(fā)該產(chǎn)品，加入物聯(lián)網(wǎng)行業(yè)細(xì)分領(lǐng)域。該公司通過添加函數(shù)庫來擴(kuò)展內(nèi)核，以支持云連接、云安全及無線更新。

以下是感染FreeRTOS的全部漏洞及其標(biāo)識碼列表：