Wind River修复VxWorks的多个安全漏洞

平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告，iOS 和 Linux 则要少一些。不过本文要为大家介绍的，则是 VxWorks 实时操作系统（RTOS）曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上，此次曝出的大型安全漏洞，很可能引发灾难性的后果。

报道称，过去 13 年里，这些设备已存在不少于 11 个零日漏洞。遗憾的是，由于 RTOS 设备属于电子设备领域的沉默工作者，媒体并没有对其加以广泛的关注。

举个例子，RTOS 软件驱动着从调制解调器、电梯、乃至核磁共振（MRI）扫描仪等在内的各种机器。而 VxWorks 的客户名单，涵盖了 Xerox、NEC、三星、理光等知名企业。

物联网安全研究机构 Armis 将这些漏洞统称为 URGENT / 11，以敦促行业尽快更新机器的 RTOS 系统。其中六个比较严重的漏洞，或赋予攻击者远程代码执行的权限。

另外五个漏洞没有这样致命，但也可以在没有用户交互的情况下，授予攻击者相应的访问权限。讽刺的是，它们甚至可以绕过 VxWorks 自带的防火墙和 NAT 等安全设备。

尽管 GRGENT / 11 的名字看起来有些平淡，但 Armis 还是希望业界能打起 12 分精神。研究人员提出了三种潜在的攻击方式，称威胁可来自内部或外部网络，另一项甚至威胁到了网络本身的安全措施。

Armis 表示，URGENT / 11 对工业和医疗保健行业造成了最大的风险，因其广泛使用运行 VxWorks 的设备。

好消息是，Wind River 已在 7 月 19 日发布的补丁中进行了修复。坏消息是，使用 RTOS 的设备，并不能简单地执行应用软件更新。