网络安全研究人员在BusyBox中发现了14个关键漏洞，它被称为嵌入式Linux的瑞士军刀。BusyBox是使用最广泛的Linux软件套件之一，许多世界领先的运营技术(OT)和物联网(IoT)设备都运行BusyBox。

一些威胁可能导致被利用的拒绝服务(DoS)攻击，在极少数情况下，还可能导致信息泄漏和可能的远程代码执行。

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间，如果您能与我们分享您的经验，我们将不胜感激。

“我们披露的这些新漏洞仅在特定情况下表现出来，但在被利用时可能会带来极大的问题。BusyBox的激增使这成为安全团队需要解决的问题，”该团队指出。

为了评估这些漏洞造成的威胁级别，研究人员检查了JFrog的数据库，其中包含10,000多个公开可用的嵌入式固件映像。

他们的实验表明，40%的图像包含一个BusyBox可执行文件，该文件与其中一个受影响的小程序相关联，因此他们得出结论，这些漏洞在基于Linux的嵌入式固件中极为普遍。

也就是说，研究人员分享了几个原因，使他们相信发现的漏洞可能不会构成严重的安全威胁。

首先，研究人员表示，尽管DoS漏洞很容易被利用，但由于受影响的小程序几乎总是作为单独的分叉进程运行，因此通常可以减轻其影响。

同样，释放后使用漏洞可能可用于远程代码执行，但研究人员并未尝试为它们创建武器化漏洞。最后，信息泄漏漏洞的利用并不容易。

研究人员指出，所有14个漏洞都已在BusyBox1.34.0中得到修复，因为他们敦促公司升级他们的BusyBox部署，或者至少确保他们不使用任何受影响的小程序。