«Ευπάθειες FatFs: Έκθεση εκατομμυρίων συσκευών σε κυβερνοκινδύνους»


Σημαντικές ευπάθειες εντοπίστηκαν στο FatFs, το ευρέως χρησιμοποιούμενο πρόγραμμα οδήγησης συστήματος αρχείων FAT/exFAT, σύμφωνα με ερευνητές ασφαλείας από την runZero. Αυτές οι επτά νέες ευπάθειες υπόκεινται σε βαθμολογίες CVSS που κυμαίνονται από μέτριες έως υψηλές, γεγονός που καταδεικνύει την ανάγκη προσοχής, αν και καμία δεν χαρακτηρίζεται ως κρίσιμη.

Τα FatFs είναι θεμελιώδη για πολλές πλατφόρμες, συμπεριλαμβανομένων των Espressif ESP-IDF και STMicroelectronics STM32Cube, καθώς και για συστήματα IoT, βιομηχανικούς ελεγκτές και drones. Αυτή η εξέλιξη έχει σοβαρές επιπτώσεις, ιδίως για τη λειτουργία κρυπτονομισμάτων, όπου η ασφάλεια είναι θεμελιώδης.

Η παρούσα έρευνα ακολουθεί προηγούμενες αναλύσεις του 2017, επικεντρώνοντας σε νέα εργαλεία και τεχνικές. Το runZero χρησιμοποιεί τον κώδικα του Visual Studio και τη λειτουργία “αυτόματη” του Copilot για να εντοπίσει ευπάθειες που δεν είχαν ανακαλυφθεί νωρίτερα, υπογραμμίζοντας τη σημαντική αυξανόμενη χρήση τεχνητής νοημοσύνης στην .

Ευπάθειες FatFs

CVE-2026-6682 (CVSS 7.6, Υψηλό) — Η ευπάθεια αυτή επιτρέπει σε έναν εισβολέα να ελέγξει μεταδεδομένα σχήματος αρχείου κατά την προσάρτηση, οδηγώντας ενδεχομένως σε εκτέλεση κακόβουλου κώδικα.

CVE-2026-6687 (CVSS 7.6, Υψηλό) — Η μη περιορισμένη εισαγωγή δεδομένων στο f_getlabel() μπορεί να προκαλέσει υπερχείλιση μνήμης και κακή εκτέλεση.

CVE-2026-6688 (CVSS 7.6, Υψηλό) — Με την υποστήριξη μεγάλων ονομάτων αρχείων, αυτή η ευπάθεια επιτρέπει overflow σε buffer, κινδυνεύοντας να αποκαλύψει ευαίσθητα δεδομένα.

CVE-2026-6685 (CVSS 6.1, Μεσαίο) — Ευπάθεια που σχετίζεται με διαχείριση βρώμικης κρυφής μνήμης σε κατακερματισμένους τόμους, με πιθανές σοβαρές συνέπειες για τα δεδομένα.

CVE-2026-6683 (CVSS 4.6, Μεσαίο) — Διαίρεση με το μηδέν σε διαδικασίες εγγραφής μπορεί να προκαλέσει κρίσιμα ζητήματα σύγκρουσης κατά τη διάρκεια ενημερώσεων.

CVE-2026-6686 (CVSS 4.6, Μεσαίο) — Αυτή η ευπάθεια επιτρέπει την έκθεση μη αρχικοποιημένων δεδομένων, ενδεχομένως διαρρέοντας ευαίσθητες πληροφορίες.

CVE-2026-6684 (CVSS 4.6, Μεσαίο) — Ανυπαρξία επικύρωσης σε προηγούμενες εκδόσεις οδηγεί σε δυνατότητες άρνησης υπηρεσίας.

Οι ευπάθειες ενεργοποιούνται μέσω δημιουργημένων εικόνων FAT/exFAT και ενδέχεται να επηρεάσουν ποικιλία συσκευών όπως κάμερες ασφαλείας, ΑΤΜ και συστήματα ψηφοφορίας, ιδίως όπου η φυσική πρόσβαση στους πόρους είναι εφικτή. Γεγονός που σημαίνει ότι ενδέχεται να επιτρέψει εύκολο συμβιβασμό αυτών των συσκευών.

Το runZero έχει κάνει πολλές προσπάθειες για να προωθήσει τη συνεργασία με τους συντηρητές του FatFs, αλλά με περιορισμένη ανταπόκριση. Είναι κρίσιμο για τους προγραμματιστές να εξετάσουν προσεκτικά την ασφάλεια των εκδόσεων που χρησιμοποιούν.

Οι υλοποιητές καλούνται να ελέγξουν τις σχετικές υλοποιήσεις στον κώδικα FatFs και να προετοιμαστούν για πιθανές αναγκαίες ενημερώσεις που θα προκύψουν λόγω αυτών των ευπαθειών.

Ενισχύστε την ασφάλεια του SOC σας με γρήγορη ανίχνευση και απαντήσεις σε απειλές. -> Ενσωματώστε το ANY.RUN σήμερα.

NewsRoom
NewsRoomhttps://technoid.gr
Η συντακτική ομάδα του Technoid.gr αποτελείται από έμπειρους δημοσιογράφους και λάτρεις της τεχνολογίας με πολυετή θητεία στον ειδικό τύπο. Με προσήλωση στην εγκυρότητα και την αντικειμενική ανάλυση, το NewsRoom μεταφέρει τον παλμό των παγκόσμιων εξελίξεων, από τα τελευταία gadgets μέχρι τις επαναστατικές καινοτομίες που αλλάζουν τον κόσμο μας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ