Güvenlik firması runZero, bir cihazın USB sürücülerde ve SD kartlarda kullanılan FAT ve exFAT formatlarını okumasına ve yazmasına olanak tanıyan küçük bir dosya sistemi kütüphanesi olan FatF'lerdeki yedi güvenlik açığını açıkladı.
Kusurlar önemlidir çünkü FatF'ler neredeyse her yerdedir. Güvenlik kameralarını, drone'ları, endüstriyel kontrol cihazlarını, donanım kripto cüzdanlarını ve gerçek zamanlı işletim sistemleri üzerine kurulu diğer cihazları çalıştıran donanım yazılımının içinde gönderilir.
En kötü etkilenen sistemlerde, bubi tuzaklı bir USB sürücüyü, SD kartı veya güncelleme dosyasını bir aygıta alan bir saldırgan, aygıtın belleğini bozabilir ve kendi kodunu çalıştırabilir.
Teknik Analiz
Çoğu gömülü cihaz, telefonlarda ve masaüstü bilgisayarlarda bulunan bellek korumalarından yoksundur; bu nedenle runZero, "herhangi bir fiziksel erişim jailbreak'e yol açar" diyor. Halka açık bir kiosk, SD yuvası olan bir kamera, bir ATM veya USB bağlantı noktasına sahip bir oylama makinesi, bir anlık fiziksel erişimden sonra tam kontrolü devretmemelidir, ancak burada devredebilir.
Yedi böceğin tümü aynı temel şekilde çalışır. Cihaz, kasıtlı olarak hatalı biçimlendirilmiş bir depolama birimini veya ürün yazılımı görüntüsünü okumaya çalışır ve FatF'ler hatalı verileri yanlış işler. runZero, CVSS setini hiçbir Kritik olmadan Orta ila Yüksek arasında derecelendirdi.
Sonuç ve Değerlendirme
Başlık hatası, FAT32 birimini bağlayan koddaki bir tamsayı taşması olan CVE-2026-6682'dir (CVSS 7.6). Kötü matematik, daha sonra kodun gerçek okuma uzunluğu olarak kabul ettiği yanlış bir dosya boyutu üretebilir. Gerçek donanımda bu, hafıza bozulmasına ve kod yürütmeye dönüşebilir.
İşte runZero'nun sıralamasına göre en kötüleri ilk sırada yer alan yedisi:
Detaylar ve Etkileri
CVE-2026-6682 (7.6, Yüksek): Bellek bozulmasına ve olası kod yürütülmesine yol açan FAT32 montaj tamsayı taşması. Yalnızca fiziksel medyayla değil, bazı ürün yazılımı güncellemeleriyle de erişilebilir.
FAT32 bağlama tamsayı taşması, belleğin bozulmasına ve olası kod yürütülmesine neden olur. Yalnızca fiziksel medyayla değil, bazı ürün yazılımı güncellemeleriyle de erişilebilir. CVE-2026-6687 (7.6, Yüksek): exFAT birim etiketi alanı küçük bir arabelleği aşarak saldırgana bellek bozulmasına karşı temiz bir dayanak sağlar.
Gelecekte Ne Bekleniyor?
exFAT birim etiketi alanı küçük bir arabelleği aşarak saldırgana bellek bozulmasına karşı temiz bir dayanak sağlar. CVE-2026-6688 (7.6, Yüksek): uzun dosya adları, fno.fname strcpy'si gibi birçok projenin FatF'lerin etrafına koyduğu sarmalayıcı kodunu sabit bir arabelleğe taşıyor. FatF'lerin içinde tek başına düzeltmek zor.
Nasıl Önlem Alınmalı?
uzun dosya adları, fno.fname strcpy'si gibi birçok projenin FatF'lerin etrafına koyduğu sarmalayıcı kodunun sabit bir ara belleğe taşmasını sağlar. FatF'lerin içinde tek başına düzeltmek zor. CVE-2026-6685 (6.1, Orta): parçalanmış birimlerde önbellek işlemede verileri sessizce bozabilen bir matematik sarma.
Sistem Güvenliği
parçalanmış birimlerde önbellek işlemede verileri sessizce bozabilen bir matematik sarması. CVE-2026-6683 (4.6, Orta): cihazı çökerten bir exFAT sıfıra bölme. Bir güncelleme akışında donanımı bozabilir. Ayrıca bazı ürün yazılımı güncellemeleriyle de erişilebilir.
cihazı çökerten bir exFAT sıfıra bölme. Bir güncelleme akışında donanımı bozabilir. Ayrıca bazı ürün yazılımı güncellemeleriyle de erişilebilir. CVE-2026-6686 (4.6, Orta): Sonunu aşan bir dosya, önceden silinmiş dosyalardan kalan verileri sızdırabilir.
Önemli Gelişmeler
sonuna kadar uzatılmış bir dosya, önceden silinmiş dosyalardan kalan verileri sızdırabilir. CVE-2026-6684 (4.6, Orta): hatalı biçimlendirilmiş bir GPT bölümleme tablosu (diskin haritası), montaj sırasında aygıtın kilitlenmesine neden olabilir. FatFs R0.16'daki yedi sabit yukarı akıştan yalnızca biridir.
İşte işin zor kısmı. FatF'ler internetin küçük bir köşesinde tek bir geliştirici tarafından korunuyor ve runZero, sürekli olarak bakımcıya ulaşmaya çalıştığını ve Japonya'nın JPCERT/CC koordinasyon merkezinde döngüye girdiğini ancak yanıt alamadığını söylüyor.
Uzmanların Görüşleri
RunZero'nun hesabına göre, bellek bozulması hataları için herhangi bir yukarı yönde düzeltme yok, bir güvenlik posta listesi yok ve FatF'leri paketleyen birçok ürünün etkilendiklerini öğrenmesinin bir yolu yok. Güncel sürüm GPT'nin kilitlenmesine yardımcı olur, çünkü mevcut sürüm bunu engeller, ancak geri kalanı kendi başlarına yama yapmak için alt satıcılara düşer.
runZero, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT ve SWUpdate güncelleyici dahil olmak üzere etkilenen platformları adlandırıyor. Bu da sorunu tüketici IoT'ye, endüstriyel ekipmanlara, drone'lara ve kripto cüzdanlara doğru itiyor.
runZero'nun 1 Temmuz'daki açıklamasına göre, bu hataları kullanan hiçbir saldırı rapor edilmedi ve o zamandan beri de hiçbiri ortaya çıkmadı. Ancak istismar malzemesi zaten halka açık: runZero, konsept kanıtlı disk görüntülerini, bir test donanımını ve tamamlayıcı bir depoda çalışan bir QEMU tabanlı istismar örneğini gönderdi.
FAT veya exFAT ortamına dokunan ürün yazılımı oluşturursanız tavsiye doğrudandır. Ürününüzde FatF'lerin kopyasını bulun, w'yi denetleyin. rapçi kodunu değiştirin, dosya adlarını ve dosya boyutlarını nasıl kullandığınıza iyice bakın ve yama yapmayı planlayın.
Etkilenen cihazları çalıştırıyorsanız, fiziksel bağlantı noktalarını ve güncelleme kanallarını bir saldırı yüzeyi olarak değerlendirin: medyayı kimlerin takabileceğini sınırlayın ve satıcının ürün yazılımı güncellemelerini izleyin.
Bu neden sürekli oluyor?
runZero, FatF'leri ilk kez 2017'de elle denetledi ve rapor etmeye değer çok az şey buldu. Mart 2026'da geri dönen ekip, aynı kodda kullanıma hazır bir kurulum önerdi: Visual Studio Code, "otomatik" modda GitHub Copilot ve birkaç basit komut.
Yüksek Lisans, bir şeyler bozuluncaya kadar hatalı biçimlendirilmiş verileri koda besleyen bir araç olan fuzzer'ı geliştirdi. Bu, manuel denetimin gözden kaçırdığı hataları ortaya çıkardı ve bunların kötüye kullanılabilir olduğunun doğrulanmasına yardımcı oldu.
Bu büyüyen bir modele uyuyor. 2024'ün sonlarında, Google'ın Big Sleep aracısı, SQLite'ta sıradan bulanıklaştırmanın gözden kaçırdığı gerçek, sömürülebilir bir bellek hatası buldu.
Daha geçen ay, otonom bir yapay zeka aracısı, başka bir geniş çapta gömülü C kütüphanesi olan FFmpeg'de 21 bellek güvenliği hatasını ortaya çıkardı. runZero'nun demek istediği nokta açık: Eğer çoğunlukla kullanıma hazır bir yapay zeka boru hattı bunları bulabilirse, herkes de bulabilir, yani bunların üzerinde oturmak kimseyi sessizce korumaz.
Yama sorunu tanıdıktır. runZero, aşağı yöndeki düzeltmelerin günler değil yıllar sürmesini bekliyor ve PixieFail de bunun bir örneği: birçok bilgisayar ve sunucu markasının arkasındaki ürün yazılımı olan EDK II'nin ağ önyükleme kodunda, satıcıların yama yapmakta yavaş olduğu 2024'teki dokuz hatadan oluşan bir grup. FatF'ler aynı şekle ve daha zayıf bir düzeltme hattına sahiptir çünkü hiçbir duyarlı yukarı akış yoktur.
İki şeye dikkat edin: FatFs bakımcısının bir yama ile yeniden ortaya çıkıp çıkmayacağı ve onu bir araya getiren büyük platform satıcılarının nasıl yanıt vereceği. Bunu yapana kadar, birçok nakliye cihazının, arkasında herhangi bir düzeltme bulunmayan kod içeren güvenilmeyen depolama alanlarını okuduğunu varsayalım.