Eine Abhängigkeit, die kaum jemand sieht
Am 1. Juli 2026 legte die Sicherheitsfirma runZero sieben Schwachstellen in FatFs offen, einer kleinen Bibliothek, mit der ein Gerät die auf USB-Sticks und SD-Karten genutzten Formate FAT und exFAT lesen und schreiben kann. Es ist einer jener Code-Bausteine, der überall steckt und für fast niemanden sichtbar ist. Er liegt in der Firmware von Überwachungskameras, Drohnen, Industriesteuerungen, Hardware-Krypto-Wallets, öffentlichen Kiosk-Terminals, Geldautomaten und Wahlmaschinen mit USB-Anschluss.
Drei der Fehler sind als hoch eingestuft. CVE-2026-6682 ist ein Integer-Überlauf beim Einbinden eines FAT32-Datenträgers; CVE-2026-6687 lässt einen Puffer über eine exFAT-Datenträgerbezeichnung überlaufen; CVE-2026-6688 bringt den Wrapper-Code zum Überlaufen, den viele Produkte um FatFs herum ergänzen. Auf echter Hardware werden die schlimmsten davon zu Speicherbeschädigung und Codeausführung. Die Bibliothek gelangt über gängige Toolkits in diese Produkte, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT und den SWUpdate-Updater, und genau deshalb wissen so viele Anbieter noch nicht, dass sie im Wirkungsradius liegen.
Physischer Zugriff ist der Kern, nicht die Ausrede
Manche werden das mit dem Hinweis abtun, es brauche physischen Zugriff. Für die betroffenen Geräteklassen ist genau das die Schwachstelle, keine Entwarnung. Eine Überwachungskamera, ein öffentliches Kiosk-Terminal, ein Geldautomat, eine Wahlmaschine: Das gesamte Designversprechen lautet, dass ein Mitglied der Öffentlichkeit es berühren oder etwas einstecken kann, ohne es zu kompromittieren. Diese Fehler brechen dieses Versprechen. Ein Angreifer mit einem präparierten USB-Stick, einer SD-Karte oder einer Update-Datei kann Speicher beschädigen und Code ausführen.
Zwei der Fehler, der FAT32-Überlauf und eine exFAT-Division durch null, sind auch über Firmware-Updates aus der Ferne erreichbar. Das weitet die Gefährdung von jemandem, der direkt vor dem Gerät steht, auf jeden aus, der den Update-Kanal beeinflussen kann, und es bedeutet, dass ein fehlgeschlagenes Update Hardware im Feld unbrauchbar machen kann. runZero hat Proof-of-Concept-Datenträgerabbilder, ein Testgerüst und einen funktionierenden QEMU-basierten Exploit veröffentlicht, sodass das Material, das ein Angreifer bräuchte, bereits offen verfügbar ist.
Wenn der Fix keinen Verantwortlichen hat
Der unbequeme Kern dieser Geschichte ist die Pflege. FatFs wird von einem einzigen Entwickler betreut, und runZero berichtet, wiederholt versucht zu haben, diesen Betreuer zu erreichen, und Japans Koordinierungsstelle JPCERT/CC eingebunden zu haben, ohne Reaktion. Nur einer der sieben Fehler, ein Denial-of-Service-Hänger, ist in Version R0.16 vom Hersteller behoben. Für die sechs Speicherbeschädigungs-Probleme gibt es keinen Fix vom Hersteller, keine Sicherheits-Mailingliste und keinen Mechanismus, über den die vielen Produkte, die FatFs mitliefern, erfahren könnten, dass sie betroffen sind.
So sieht modernes Lieferketten-Risiko für physische Anlagen tatsächlich aus. Kein spektakulärer Einbruch, sondern eine tragende Komponente mit einem einzigen menschlichen Ausfallpunkt, so tief eingebettet, dass die Unternehmen, die sie ausliefern, ihre eigene Gefährdung nicht auflisten können. Die Entdeckungsmethode unterstreicht, wie sich das Gleichgewicht verschoben hat: runZero fand diese Fehler im März 2026 mit einem frei erhältlichen KI-gestützten Fuzzer, eine Arbeit, die ein manuelles Audit Jahre zuvor übersehen hatte. Die Werkzeuge zum Auffinden solcher Fehler sind heute billig und weit verbreitet, was bedeutet, dass auch Angreifer sie haben.
Was ein Eigentümer einfordern sollte
Von außen lässt sich das nicht wegpatchen, machen Sie es also zu einer Frage der Beschaffung und des Anbietermanagements. Stellen Sie für jede Flotte vernetzter oder eingebetteter Geräte, Kameras, Steuerungen, Kiosk-Terminals, Wallets, jedem Anbieter eine direkte Frage: Nutzt Ihre Firmware FatFs, welche Version, und wie sieht Ihr Plan für die sechs ungepatchten CVEs aus? Ein Anbieter, der nicht rasch antworten kann, verrät Ihnen etwas über seinen eigenen Einblick in seinen Code.
Behandeln Sie intern physische Anschlüsse und Update-Kanäle als aktive Angriffsfläche. Beschränken Sie, wer an exponierten Geräten Datenträger einstecken darf, und stellen Sie sicher, dass Firmware-Updates signiert und geprüft werden, bevor sie eingespielt werden. runZeros eigene Empfehlung an Entwicklungsteams, prüfen Sie Ihre eingebundene Version, prüfen Sie Ihre Wrapper, prüfen Sie Ihre Verarbeitung von Dateinamen und Dateigrößen, ist die Checkliste, die Sie jedem Anbieter in die Hand geben sollten, der Hardware für Sie baut.
Weiterlesen: Maschinenidentitäten übertreffen die Belegschaft inzwischen um das 80-Fache | Europas Chip-Souveränität-Sieg ist das langweilige Silizium



