Ett beroende som nästan ingen ser

Den 1 juli 2026 offentliggjorde säkerhetsföretaget runZero sju sårbarheter i FatFs, ett litet bibliotek som låter en enhet läsa och skriva de FAT- och exFAT-format som används på USB-enheter och SD-kort. Det är en av de kodbitar som finns överallt och är synlig för nästan ingen. Det sitter i firmware i övervakningskameror, drönare, industriella styrenheter, hårdvarukryptoplånböcker, offentliga kiosker, bankomater och röstningsmaskiner med USB-port.

Tre av bristerna är klassade som hög allvarlighetsgrad. CVE-2026-6682 är ett heltalsspill vid montering av en FAT32-volym; CVE-2026-6687 spiller över en buffert via en exFAT-volymetikett; CVE-2026-6688 spiller över den omslagskod som många produkter lägger runt FatFs. På riktig hårdvara blir de värsta av dessa till minnesförstöring och kodkörning. Biblioteket når dessa produkter via vanliga verktygslådor, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT och uppdateraren SWUpdate, vilket är just därför så många leverantörer ännu inte vet att de är inom räckhåll.

Fysisk åtkomst är poängen, inte ursäkten

Vissa avfärdar detta med att det krävs fysisk åtkomst. För de drabbade enhetskategorierna är just det sårbarheten, inte en begränsning. En övervakningskamera, en offentlig kiosk, en bankomat, en röstningsmaskin: hela designlöftet är att en person ur allmänheten kan röra vid den, eller koppla in något, utan att kompromettera den. Dessa brister bryter det löftet. En angripare med ett manipulerat USB-minne, SD-kort eller en uppdateringsfil kan förstöra minne och köra kod.

Två av bristerna, FAT32-spillet och en division med noll i exFAT, går också att nå via trådlösa firmware-uppdateringar. Det vidgar exponeringen från någon som står framför maskinen till vem som helst som kan påverka uppdateringskanalen, och det innebär att en misslyckad uppdatering kan göra hårdvara oanvändbar ute på fältet. runZero har offentliggjort proof-of-concept-diskavbildningar, en testrigg och ett fungerande QEMU-baserat exploit, så det material en angripare skulle behöva ligger redan öppet.

När åtgärden saknar ägare

Den obekväma kärnan i den här historien är underhåll. FatFs sköts av en enda utvecklare, och runZero uppger att man upprepade gånger försökte nå den underhållaren och kopplade in Japans samordningscentrum JPCERT/CC, utan svar. Bara en av de sju bristerna, en hängning genom överbelastning, är officiellt åtgärdad i version R0.16. De sex minnesförstöringsproblemen har ingen officiell lagning, ingen säkerhetssändlista och ingen mekanism för att de många produkter som paketerar FatFs ska få veta att de är drabbade.

Så här ser modern leveranskedjerisk faktiskt ut för fysiska tillgångar. Inte ett förstasidesintrång, utan en bärande komponent med en enda mänsklig felpunkt, inbäddad så djupt att företagen som levererar den inte kan räkna upp sin egen exponering. Upptäcktsmetoden understryker hur balansen har förskjutits: runZero fann dem i mars 2026 med en färdig, AI-stödd fuzzer, ett arbete som en manuell granskning år tidigare hade missat. Verktygen för att hitta dessa brister är nu billiga och brett tillgängliga, vilket innebär att angripare också har dem.

Vad en ägare bör kräva

Du kan inte lagga dig ur detta utifrån, så gör det till en fråga om inköp och leverantörsstyrning. För varje flotta av uppkopplade eller inbäddade enheter, kameror, styrenheter, kiosker, plånböcker, ställ varje leverantör en rak fråga: använder er firmware FatFs, vilken version, och vad är er plan för de sex olagade CVE:erna? En leverantör som inte kan svara snabbt berättar något om sin egen insyn i sin egen kod.

Internt bör du behandla fysiska portar och uppdateringskanaler som en levande angreppsyta. Begränsa vem som får koppla in media i exponerade enheter, och bekräfta att firmware-uppdateringar är signerade och validerade innan de tillämpas. runZeros eget råd till ingenjörsteam, granska er inbäddade version, granska era omslag, granska er hantering av filnamn och filstorlekar, är checklistan att lämna till varje leverantör som bygger hårdvara åt dig.