En afhængighed, næsten ingen kan se
Den 1. juli 2026 offentliggjorde sikkerhedsfirmaet runZero syv sårbarheder i FatFs, et lille bibliotek, der lader en enhed læse og skrive de FAT- og exFAT-formater, der bruges på USB-drev og SD-kort. Det er en af de kodestumper, der er alle vegne og synlig for næsten ingen. Det sidder i firmwaren i overvågningskameraer, droner, industrielle styringer, hardware-krypto-wallets, offentlige kiosker, pengeautomater og stemmemaskiner med USB-port.
Tre af fejlene er vurderet som høj alvorlighed. CVE-2026-6682 er et heltalsoverløb ved montering af en FAT32-diskenhed; CVE-2026-6687 overløber en buffer via en exFAT-diskenhedsetiket; CVE-2026-6688 overløber den wrapper-kode, mange produkter lægger rundt om FatFs. På rigtig hardware bliver de værste af disse til hukommelsesødelæggelse og kodeafvikling. Biblioteket når disse produkter via udbredte værktøjskasser, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT og opdateringsværktøjet SWUpdate, og netop derfor vil så mange leverandører endnu ikke vide, at de er inden for rækkevidde.
Fysisk adgang er pointen, ikke undskyldningen
Nogle vil afvise det med, at der kræves fysisk adgang. For de berørte enhedskategorier er netop det sårbarheden, ikke en afbødning. Et overvågningskamera, en offentlig kiosk, en pengeautomat, en stemmemaskine: hele designløftet er, at en tilfældig person kan røre ved den eller sætte noget i den uden at kompromittere den. Disse fejl bryder det løfte. En angriber med et manipuleret USB-drev, SD-kort eller en opdateringsfil kan ødelægge hukommelse og køre kode.
To af fejlene, FAT32-overløbet og en division med nul i exFAT, kan også nås via trådløse firmware-opdateringer. Det udvider udsattheden fra en, der står foran maskinen, til enhver, der kan påvirke opdateringskanalen, og det betyder, at en mislykket opdatering kan gøre hardware ubrugelig ude i felten. runZero har offentliggjort proof-of-concept-diskbilleder, en testopstilling og et fungerende QEMU-baseret exploit, så det materiale, en angriber ville have brug for, ligger allerede åbent.
Når rettelsen ingen ejer har
Den ubehagelige kerne i denne historie er vedligeholdelse. FatFs holdes af en enkelt udvikler, og runZero fortæller, at man gentagne gange forsøgte at nå den vedligeholder og inddrog Japans koordinationscenter JPCERT/CC, uden svar. Kun en af de syv fejl, et hæng ved denial-of-service, er officielt rettet i version R0.16. De seks hukommelsesødelæggelsesproblemer har ingen officiel lap, ingen sikkerhedsmailingliste og ingen mekanisme, hvormed de mange produkter, der bundter FatFs, kan opdage, at de er berørt.
Sådan ser moderne forsyningskæderisiko faktisk ud for fysiske aktiver. Ikke et forsidebrud, men en bærende komponent med et enkelt menneskeligt svigtpunkt, indlejret så dybt, at de virksomheder, der udsender den, ikke kan opremse deres egen udsatthed. Opdagelsesmetoden understreger, hvordan balancen har flyttet sig: runZero fandt dem i marts 2026 med en færdigkøbt, AI-assisteret fuzzer, et arbejde som en manuel gennemgang år tidligere havde overset. Værktøjerne til at finde disse fejl er nu billige og bredt tilgængelige, hvilket betyder, at angribere også har dem.
Hvad en ejer bør kræve
Du kan ikke lappe dig ud af dette udefra, så gør det til et spørgsmål om indkøb og leverandørstyring. For enhver flåde af forbundne eller indlejrede enheder, kameraer, styringer, kiosker, wallets, stil hver leverandør et direkte spørgsmål: bruger jeres firmware FatFs, hvilken version, og hvad er jeres plan for de seks ulappede CVE'er? En leverandør, der ikke kan svare hurtigt, fortæller dig noget om sit eget indblik i sin egen kode.
Internt skal du behandle fysiske porte og opdateringskanaler som en levende angrebsflade. Begræns, hvem der må sætte medier i udsatte enheder, og bekræft, at firmware-opdateringer er signeret og valideret, før de indlæses. runZeros eget råd til ingeniørteams, gennemgå jeres indlejrede version, gennemgå jeres wrappere, gennemgå jeres håndtering af filnavne og filstørrelser, er tjeklisten, du bør give enhver leverandør, der bygger hardware til dig.
Læs videre: Maskinidentiteter overgår nu medarbejderne med 80 til 1 | Europas chipsejr ligger i det kedelige silicium



