Af Torben B. Sørensen, 26/10/17
MQX RTOS er et realtidsoperativsystem, der bruges i NXP Semiconductors' ColdFire-mikrocontrollere, Kinetis-mikrocontrollere, i.MX-processorer og Vybrid-processorer. Sikkerhedsforskere har fundet to sårbarheder, hvoraf den ene kan udnyttes til at afvikle skadelig programkode.
De berørte enheder bruges typisk i industrikontrolsystemer og Internet of Things-enheder (IoT).
Den alvorligste sårbarhed findes i version 5 og tidligere. En mindre alvorlig sårbarhed er i version 4.1 og tidligere.
NXP Semiconductors planlægger at lukke hullerne med version 5.1, der kommer til januar. Indtil da kan man få en opdatering, der lukker hullet.
Anbefaling
Minimer netværksopkobling af industrikontrolsystemer og isoler dem på deres egne segmenter.
Links
- ICSA-17-285-04: NXP Semiconductors MQX RTOS, ICS-CERT (Industrial Control Systems Cyber Emergency Response Team)
- Flaw in MQX Operating System Could Put Internet of Things in Crosshairs, artikel fra Security Ledger