最近，一名安全研究人员在VxWorks操作系统上发现了两个漏洞，而美国宇航局的好奇号火星车，运行的正是这一实时操作系统。不过研究者并非针特别针对NASA或好奇号火星车，毕竟在这颗红色星球上只有1台设备在运行这套系统。糟糕的是，在隔壁地球，有超过15亿设备运行这个“非常安全的实时操作系统”。

VxWorks是由美国风河系统公司（Wind River System）于1987年推出的一款高安全性物联网操作系统，它出现在了无数的设备上，从波音787飞机到工业机器人、网络路由器到医疗设备，都有它的身影。

加拿大安全专家Yannick Formaggio受一名客户之邀，在部署自家工业设备之前，对该操作系统进行了一番安全性研究。在检查之后，Mr. Formaggio对该系统的安全性表示了肯定，除了发现的两个漏洞。

首先要说的是一个后门，通过在登录字段提供负值，攻击者可以能够在不被检测到的情况下进行创建。作为验证，Formaggio顺利绕过了内存保护、并且在没有适当授权的情况下创建了一个root级别的账户。

第二个漏洞，则是VxWorks操作系统内置FTP服务器会发生的环形缓冲区溢出问题。它在收到极高速度的恶意用户名和密码的时候会崩溃，但这只相当于对设备的网络发起了DDoS攻击。

受影响的VxWorks系统版本为5.5到6.9.4.1，7月下旬的时候，风河系统公司已经公告了这一漏洞，并且提供了修复补丁。

Mr.Formaggio在伦敦举办的44CON安全大会上公布了这一研究结果。