在主要用于智能家居及關鍵基礎設施系統(tǒng)中的大部分微處理器與單片機的開源操作系統(tǒng)FreeRTOS中，已發(fā)現(xiàn)13個漏洞，其中三分之一可用來執(zhí)行遠程代碼。

這些存在于TCP/IP協(xié)議棧的漏洞感染了由亞馬遜維護的FreeRTOS衍生系統(tǒng)，及由WITTENSTEIN高集成系統(tǒng)(WHIS)維護的OpenRTOS 與 SafeRTOS系統(tǒng)，這些系統(tǒng)是適用于MIT許可證的商業(yè)產品變體。

發(fā)現(xiàn)13個漏洞

安全公司辛培力安（Zimperium）的奧利·卡里班（Ori Karliner）分析了該操作系統(tǒng)，發(fā)現(xiàn)各類操作系統(tǒng)皆受四個遠程代碼執(zhí)行漏洞、一個拒絕服務漏洞(DoS)、七個信息泄露漏洞以及另一未公開類型的安全問題影響。

受影響版本為FreeRTOS版本V10.0.1（基于FreeRTOS+TCP協(xié)議棧）、AWSFreeRTOS版本V1.3.1、OpenRTOS 以及 SafeRTOS（包含WHIS ConnectT中間件TCP/IP組件）。

亞馬遜得知該情況后，已發(fā)布補丁來緩解這些漏洞。

由安全公司辛培力安發(fā)布的一份報告可知，在接下來30天內，該公司將不再公布任何技術細節(jié)，“以確保各小型供應商順利修復這些漏洞”。

內嵌式系統(tǒng)的首選

芯片公司開發(fā)該基于微內核的實時操作系統(tǒng)FreeRTOS已超過15年，目前該系統(tǒng)已成為廠商制造嵌入式設備的首要選擇。

該操作系統(tǒng)支持40多個硬件平臺，可用于各類產品的單片機，如：溫度監(jiān)測儀、電器、傳感器、健身追蹤器、工業(yè)自動化系統(tǒng)、汽車、門鎖、電力儀表以及任何基于微控制器的設備。

由于FreeRTOS的工作在較小范圍的組件，因此它缺乏精致硬件所具有的復雜性。不過，它實現(xiàn)了一個重要的功能，因為它允許在輸入時處理數(shù)據(jù)。

大約在一年前，亞馬遜決定開發(fā)該產品，加入物聯(lián)網(wǎng)行業(yè)細分領域。該公司通過添加函數(shù)庫來擴展內核，以支持云連接、云安全及無線更新。

以下是感染FreeRTOS的全部漏洞及其標識碼列表：