最近，一名安全研究人員在VxWorks操作系統上發現了兩個漏洞，而美國宇航局的好奇號火星車，運行的正是這一實時操作系統。不過研究者并非針特別針對NASA或好奇號火星車，畢竟在這顆紅色星球上只有1臺設備在運行這套系統。糟糕的是，在隔壁地球，有超過15億設備運行這個“非常安全的實時操作系統”。

VxWorks是由美國風河系統公司（Wind River System）于1987年推出的一款高安全性物聯網操作系統，它出現在了無數的設備上，從波音787飛機到工業機器人、網絡路由器到醫療設備，都有它的身影。

加拿大安全專家Yannick Formaggio受一名客戶之邀，在部署自家工業設備之前，對該操作系統進行了一番安全性研究。在檢查之后，Mr. Formaggio對該系統的安全性表示了肯定，除了發現的兩個漏洞。

首先要說的是一個后門，通過在登錄字段提供負值，攻擊者可以能夠在不被檢測到的情況下進行創建。作為驗證，Formaggio順利繞過了內存保護、并且在沒有適當授權的情況下創建了一個root級別的賬戶。

第二個漏洞，則是VxWorks操作系統內置FTP服務器會發生的環形緩沖區溢出問題。它在收到極高速度的惡意用戶名和密碼的時候會崩潰，但這只相當于對設備的網絡發起了DDoS攻擊。

受影響的VxWorks系統版本為5.5到6.9.4.1，7月下旬的時候，風河系統公司已經公告了這一漏洞，并且提供了修復補丁。

Mr.Formaggio在倫敦舉辦的44CON安全大會上公布了這一研究結果。