近日，安全研究人员正在对美国宇航局的好奇号月球车进行安全分析，并在好奇号月球车的操作系统中发现了系统后门。现在，越来越多的设备都能够安装和使用VxWorks操作系统了，其中就包括美国宇航局的好奇号月球车。然而，根据研究人员的描述，这个操作系统中却包含有后门程序。

有一位加拿大籍的安全研究人员已经在这个著名的操作系统(VxWorks)中发现了两个安全漏洞。而美国宇航局的好奇号月球车以及其他存储有敏感信息的设备都使用了这个操作系统。

研究人员的报告显示，这些被发现的漏洞针对的既不是美国宇航局，也不是好奇号月球车，而是VxWorks操作系统的某些非常流行的版本。在连接物联网设备的相关领域中，VxWorks操作系统是目前最受信任的，并且得到广泛使用的操作系统之一。

有一个客户在不久之前曾要求过加拿大籍的安全专家Yannick Formaggio去对VxWorks操作系统的安全性能进行研究和检测，他希望根据安全专家的测评结果来决定是否要在他们公司的工业设备上采用这种操作系统。Formaggion先生也按这名客户的要求进行了分析和检测，在对这一操作系统进行了详细的研究之后，他得出了下面的结论：这个实时操作系统的安全性非常的高，但该系统却存在两个设计缺陷，即环形缓冲区溢出和一个系统后门。

Formaggion先生在伦敦的44CON安全大会上将他的研究成果公布了出来，他在大会的演讲过程中解释称：“攻击者只需要在系统日志中提供一个负值，那么就可以轻易地在这个操作系统上创建后门，而且还不会被系统检测到。”Formaggion在实验的过程中，他可以绕过系统的内存防御机制，尽管他并没有相应的系统访问权限，但却可以在系统中创建一个root级别的用户账号。还有一个需要担心的问题就是环形缓冲区溢出，这个问题是由操作系统内置服务器的一个设计缺陷所引起的。服务器在接收到一个恶意创建的用户名和密码时，服务器就会立刻崩溃。这个漏洞将会允许攻击者对目标设备进行拒绝服务(DoS)攻击。

研究人员还发现，攻击者还可以远程利用这些漏洞，而且系统管理员还无法检测到这种形式的攻击。版本号为5.5至6.9.4.1之间的VxWorks操作系统都会受到这些漏洞的影响。

目前，该公司已经发布了针对这些漏洞的修复补丁了。该公司还建议所有安装了VxWorks操作系统的设备立即进行更新。

(责任编辑：腰编辑)