●概述：
心博器能在正確時機調節患者心肌脈搏，禁不起任何誤差，然若裝置OS被外力介入干擾，可就人命關天，除醫療外，尚有航太、汽車工業、物聯網等40餘類產業刻正面臨共同風險。據Zimperium研究室(zLabs)分析多種IoT技術，發覺問世14年的FreeRTOS竟存在13項嚴重漏洞，其通訊模組在運算TCP/IP stack時，涉及RCE、DoS、資訊洩露等事件，FreeRTOS是個開源的嵌入式RTOS(real-time operating systems)，可驅動微電腦，其精密、可靠、輕巧的特性，應用於追蹤、感應或其他自動化裝置，一旦駭客觸發相關弱點，勢將破壞依賴精密計算的工作流程，包括Amazon、WITTENSTEIN、Texas Instruments、STMicroelectronics、NXP、Microchip、Espressif、Infineon等廠均受該批漏洞影響，自去年11月亞馬遜公司接手營運FreeRTOS專案，負責維護kernel及元件，現已釋出升級後版本，而zLabs為保留安全更新時程，細部探勘技術俟30天後公諸於世。
●編註：
(1)略述FreeRTOS
開放原始碼的嵌入式即時作業系統(embedded real-time operating systems)，簡稱FreeRTOS，設計精簡，核心程式碼僅4個C檔案，及部分副程式(組合語言編輯)，特點在於精密計時與高可靠性，14年來應用範圍拓展至IoT、航太、醫療、汽車工業等40餘類硬體平台microcontroller，自2017年11月由Amazon Web Services (AWS)接管FreeRTOS專案。
亞馬遜公司以FreeRTOS 核心為基礎，擴展程式庫，開發Amazon FreeRTOS，讓微型控制器具備連線模組，故眾多小型裝置、感應器可回報數據至雲端(或其他邊緣裝置)。
(2)系統弱點
任職於Zimperium安全研究室(zLabs)的Ori Karliner，測試出remote code execution漏洞4項、資訊洩露7項、denial of service 1項、未定義弱點1項，共計13個，皆源於FreeRTOS通訊模組在運作TCP/IP stack時所觸發的瑕疵，駭客能針對目標設備撈取其記憶體內資料，執行惡意碼或造成當機，對於掛載FreeRTOS核心之衍生產品，其MCU(Microcontroller Unit)正面臨威脅，zLabs稱暫保留相關探勘技術，一個月後再行公布。
(3)涉及產業
除了Amazon，德國WITTENSTEIN(研發行星式減速機、整體傳動系統)亦擁有2款FreeRTOS別版，商用型WHIS OpenRTOS、安全導向型SafeRTO，證實存在相同漏洞，此事件當然關係到其他微電腦裝置，如：
Texas Instruments：CC3220SF-LAUNCHXL
STMicroelectronics： STM32L4 Discovery kit IoT node
NXP：LPC54018 IoT Module
Microchip ：Curiosity PIC32MZEF
Espressif ：ESP32-DevKitC, ESP-WROVER-KIT
Infineon ：XMC4800 IoT Connectivity Kit
企業若有代理或使用相關設備型號，請注意FreeRTOS版本升級進度。