Güvenlik firması runZero, milyonlarca gömülü cihazda kullanılan FatFs dosya sistemi kitaplığında 7 güvenlik açığı keşfetti. FatFs, USB sürücüler ve SD kartlarda kullanılan FAT ve exFAT formatlarını okuyup yazmaya olanak tanıyan küçük bir kütüphane. Güvenlik kameraları, dronlar, endüstriyel denetleyiciler, donanım cüzdanları ve gerçek zamanlı işletim sistemleriyle çalışan diğer cihazların ürün yazılımlarında bulunuyor.
Keşfedilen açıkların en kritiği olan CVE-2026-6682 (CVSS 7.6), FAT32 birimini bağlama işlemi sırasında tamsayı taşmasına neden oluyor. Bu, bellek bozulmasına ve kod yürütülmesine yol açabiliyor. Saldırgan, cihaza kötü amaçlı bir USB sürücü, SD kart veya güncelleme dosyası takarak cihazın hafızasını bozabilir ve kendi kodunu çalıştırabilir. Gömülü cihazlar genellikle telefonlar ve masaüstü bilgisayarlardaki bellek korumalarından yoksun olduğu için runZero, 'herhangi bir fiziksel erişim jailbreak'e yol açar' diyor.
Tüm açıklar temelde aynı şekilde çalışıyor: Cihaz, kasıtlı olarak bozulmuş bir depolama birimini veya ürün yazılımı görüntüsünü okumaya çalıştığında FatFs hatalı veriyi yanlış işliyor. Diğer açıklar arasında exFAT birim etiketi arabellek taşması (CVE-2026-6687), uzun dosya adı taşması (CVE-2026-6688), önbellek işlemede matematik hatası (CVE-2026-6685), exFAT sıfıra bölme hatası (CVE-2026-6683), dosya sonu ötesinde veri sızıntısı (CVE-2026-6686) ve hatalı GPT bölüm tablosu (CVE-2026-6684) bulunuyor. Sadece GPT hatası FatFs R0.16'da düzeltildi.
FatFs, tek bir geliştirici tarafından internetin küçük bir köşesinde bakımı yapılıyor ve runZero, geliştiriciye ulaşmaya çalıştığını ancak yanıt alamadığını belirtiyor. Bu nedenle, bellek bozulması açıkları için yukarı akış düzeltmesi bulunmuyor. Etkilenen platformlar arasında Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate güncelleyicisi yer alıyor. runZero, cihaz üreticilerini kendi ürünlerinde FatFs kopyasını bulmaya, wrapper kodunu denetlemeye ve yamalamaya çağırıyor.