В FatFs нашли семь уязвимостей для встраиваемых устройств.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Небольшая библиотека для работы с картами памяти и USB-накопителями оказалась общей точкой риска для целого класса устройств, после того как специалисты runZero раскрыли сразу семь уязвимостей в FatFs, которую используют во встраиваемом ПО и операционных системах реального времени.
Проблемы получили оценки от среднего до высокого уровня и затрагивают ESP-IDF, STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, TizenRT и SWUpdate.
Библиотека FatFs разбирает разделы FAT, exFAT и GPT, поэтому ошибки срабатывают при подключении специально подготовленного носителя или обработке образа обновления.
В устройствах без рандомизации адресного пространства и защиты памяти краткий доступ к SD-карте или USB-порту может привести к захвату системы. В зоне риска находятся камеры, банкоматы, промышленные контроллеры, дроны, криптокошельки и другие устройства со съёмными носителями.
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-6682?utm_source=Securitylab.ru
Авторы также связали CVE-2026-6682 и CVE-2026-6683 с некоторыми механизмами беспроводного обновления прошивок.
Проверку начали ещё в 2017 году, но ручной анализ и автоматическая подача необычных входных данных тогда не выявили серьёзных проблем. В марте 2026 года команда runZero вернулась к коду и с помощью GitHub Copilot собрала новый инструмент, который нашёл пропущенные ошибки и помог проверить их применимость в разных сценариях.
Разработчик FatFs не ответил на обращения, несмотря на подключение JPCERT/CC. runZero советует производителям проверить собственные копии библиотеки и программные обёртки, пересмотреть обработку имён и размеров файлов, а также подготовить обновления. Версии до FatFs R0.16 следует заменить из-за ошибки, позволяющей заблокировать систему длительным сканированием GPT-разделов.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Небольшая библиотека для работы с картами памяти и USB-накопителями оказалась общей точкой риска для целого класса устройств, после того как специалисты runZero раскрыли сразу семь уязвимостей в FatFs, которую используют во встраиваемом ПО и операционных системах реального времени.
Проблемы получили оценки от среднего до высокого уровня и затрагивают ESP-IDF, STM32Cube, Zephyr RTOS, MicroPython, ArduPilot, RT-Thread, Mbed, TizenRT и SWUpdate.
Библиотека FatFs разбирает разделы FAT, exFAT и GPT, поэтому ошибки срабатывают при подключении специально подготовленного носителя или обработке образа обновления.
В устройствах без рандомизации адресного пространства и защиты памяти краткий доступ к SD-карте или USB-порту может привести к захвату системы. В зоне риска находятся камеры, банкоматы, промышленные контроллеры, дроны, криптокошельки и другие устройства со съёмными носителями.
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-6682?utm_source=Securitylab.ru
- CVE-2026-6682 (7.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) вызывает целочисленное переполнение при подключении тома FAT32 и может привести к повреждению памяти и выполнению кода.
- CVE-2026-6687 (7.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) позволяет переполнить стек с помощью чрезмерно длинной метки тома exFAT.
- CVE-2026-6688 (7.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) затрагивает программы, которые копируют длинные имена файлов в буферы недостаточного размера.
- CVE-2026-6685 (6.1 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H) из-за ошибки в вычислениях при работе с фрагментированными томами может повредить данные или вызвать обращение за пределы памяти.
- CVE-2026-6683 (4.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) провоцирует деление на ноль при записи exFAT, аварийно завершает работу устройства и способна сорвать обновление прошивки.
- CVE-2026-6686 (4.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) позволяет прочитать остатки ранее удалённых файлов.
- CVE-2026-6684 (4.6 по CVSS 3.1, AV
/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) заставляет версии до FatFs R0.16 чрезвычайно долго сканировать специально подготовленный GPT-раздел.
Авторы также связали CVE-2026-6682 и CVE-2026-6683 с некоторыми механизмами беспроводного обновления прошивок.
Проверку начали ещё в 2017 году, но ручной анализ и автоматическая подача необычных входных данных тогда не выявили серьёзных проблем. В марте 2026 года команда runZero вернулась к коду и с помощью GitHub Copilot собрала новый инструмент, который нашёл пропущенные ошибки и помог проверить их применимость в разных сценариях.
Разработчик FatFs не ответил на обращения, несмотря на подключение JPCERT/CC. runZero советует производителям проверить собственные копии библиотеки и программные обёртки, пересмотреть обработку имён и размеров файлов, а также подготовить обновления. Версии до FatFs R0.16 следует заменить из-за ошибки, позволяющей заблокировать систему длительным сканированием GPT-разделов.
- Источник новости
- www.securitylab.ru