شرکت امنیتی runZero هفت آسیبپذیری را در FatFs، یک کتابخانه کوچک سیستم فایل که به دستگاهها امکان خواندن و نوشتن فرمتهای FAT و exFAT را میدهد، افشا کرده است. این کتابخانه در USB درایوها و کارتهای SD استفاده میشود.
این نقصها مهم هستند زیرا FatFs تقریباً در همه جا وجود دارد. این کتابخانه در سیستمعاملهای بلادرنگ (RTOS) دستگاههایی مانند دوربینهای امنیتی، پهپادها، کنترلکنندههای صنعتی و کیفپولهای سختافزاری رمزارز تعبیه شده است.
در بدترین حالت، یک مهاجم با قرار دادن یک USB درایو، کارت SD یا فایل بهروزرسانی آلوده در دستگاه، میتواند حافظه را خراب کرده و کد دلخواه خود را اجرا کند.
جزئیات فنی
CVE-2026-6682 (۷.۶): سرریز عدد صحیح در mount FAT32
CVE-2026-6687 (۷.۶): سرریز بافر در فیلد برچسب حجم exFAT
CVE-2026-6688 (۷.۶): سرریز نامهای طولانی فایل
CVE-2026-6685 (۶.۱): پیچیدگی ریاضی در مدیریت کش
CVE-2026-6683 (۴.۶): تقسیم بر صفر در exFAT
CVE-2026-6686 (۴.۶): نشت داده از فایلهای حذفشده
CVE-2026-6684 (۴.۶): معلق شدن دستگاه با GPT مخدوش
🔍بخش دشوار: FatFs توسط یک توسعهدهنده در گوشهای کوچک از اینترنت نگهداری میشود و runZero میگوید بارها تلاش کرده با او تماس بگیرد اما پاسخی دریافت نکرده است.
منبع این مقاله:The Hacker News
این مقاله توسط تیم افتاچک ترجمه و خلاصهسازی شده است.