📰 Informação fresquinha chegando para você!

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A empresa de segurança runZero revelou sete vulnerabilidades em FatFs, uma pequena biblioteca de sistema de arquivos que permite que um dispositivo leia e grave os formatos FAT e exFAT usados ​​em unidades USB e cartões SD.

As falhas são importantes porque os FatFs estão em quase toda parte. Ele vem dentro do firmware que executa câmeras de segurança, drones, controladores industriais, carteiras criptográficas de hardware e outros dispositivos construídos em sistemas operacionais em tempo real.

Nos sistemas mais afetados, um invasor que colocar uma unidade USB, um cartão SD ou um arquivo de atualização em um dispositivo pode corromper sua memória e executar seu próprio código.

Muitos dispositivos incorporados não possuem as proteções de memória encontradas em telefones e desktops, e é por isso que runZero diz que “qualquer acesso físico leva a um jailbreak”. Um quiosque público, uma câmera com slot SD, um caixa eletrônico ou uma urna eletrônica com porta USB não deveriam entregar o controle total após um momento de acesso físico, mas aqui pode.

Todos os sete bugs funcionam da mesma maneira básica. O dispositivo tenta ler um volume de armazenamento ou imagem de firmware que foi deliberadamente malformado e o FatFs manipula incorretamente os dados incorretos. runZero avaliou o conjunto CVSS de Médio a Alto, sem Críticos.

O bug principal é CVE-2026-6682 (CVSS 7.6), um estouro de número inteiro no código que monta um volume FAT32. A matemática incorreta pode produzir um tamanho de arquivo falso, que o código posterior trata como um comprimento de leitura real. Em hardware real, isso pode causar corrupção de memória e execução de código.

Aqui estão todos os sete, os piores primeiro pela classificação do runZero:

CVE-2026-6682 (7.6, Alto): estouro de número inteiro de montagem FAT32, causando corrupção de memória e possível execução de código. Acessível por meio de algumas atualizações de firmware, não apenas por mídia física.

CVE-2026-6687 (7.6, Alto): um campo de rótulo de volume exFAT transborda um buffer pequeno, proporcionando ao invasor uma base limpa para corrupção de memória.

CVE-2026-6688 (7.6, Alto): nomes de arquivos longos transbordam o código wrapper que muitos projetos colocam em torno de FatFs, como um srcpy de fno.fname em um buffer fixo. Difícil de consertar apenas dentro dos FatFs.

CVE-2026-6685 (6.1, Médio): um ajuste matemático no manuseio de cache em volumes fragmentados que podem corromper dados silenciosamente.

CVE-2026-6683 (4.6, Médio): uma divisão exFAT por zero que trava o dispositivo. Em um fluxo de atualização, ele pode bloquear o hardware. Também acessível através de algumas atualizações de firmware.

CVE-2026-6686 (4.6, Médio): um arquivo estendido além do fim pode vazar dados restantes de arquivos excluídos anteriormente.

CVE-2026-6684 (4.6, Médio): uma tabela de partição GPT malformada (o mapa do disco) pode travar o dispositivo durante a montagem. É o único dos sete upstream fixos, nos FatFs R0.16.

Aqui está a parte difícil. O FatFs é mantido por um desenvolvedor em um pequeno canto da Internet, e a runZero diz que tentou repetidamente entrar em contato com o mantenedor e entrou no centro de coordenação JPCERT/CC do Japão, sem resposta.

Pela conta do runZero, não há correção upstream para os bugs de corrupção de memória, nenhuma lista de discussão de segurança e nenhuma maneira de os muitos produtos que agrupam FatFs saberem que foram afetados. A atualização ajuda com o travamento do GPT, já que a versão atual o bloqueia, mas o restante cabe aos fornecedores downstream corrigirem por conta própria.

runZero nomeia as plataformas afetadas, incluindo Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT e o atualizador SWUpdate. Isso empurra o problema para a IoT do consumidor, equipamentos industriais, drones e carteiras criptografadas.

Até a divulgação do runZero em 1º de julho, nenhum ataque usando esses bugs havia sido relatado e nenhum surgiu desde então. Mas o material de exploração já é público: a runZero enviou imagens de disco de prova de conceito, um equipamento de teste e um exemplo funcional de exploração baseado em QEMU em um repositório complementar.

Se você criar firmware que toque em mídia FAT ou exFAT, o conselho é direto. Encontre a cópia dos FatFs em seu produto, audite o código wrapper em torno dele, observe atentamente como você lida com nomes e tamanhos de arquivos e planeje a correção.

Se você executar dispositivos afetados, trate as portas físicas e os canais de atualização como uma superfície de ataque: limite quem pode conectar a mídia e observe as atualizações de firmware do fornecedor.

Por que isso continua acontecendo

A runZero auditou FatFs manualmente pela primeira vez em 2017 e encontrou poucos relatórios que valham a pena. Retornando em março de 2026, a equipe apontou uma configuração pronta para uso no mesmo código: Visual Studio Code, GitHub Copilot no modo “automático” e alguns prompts simples.

O LLM construiu um fuzzer, uma ferramenta que insere dados malformados no código até que algo quebre. Isso revelou bugs que a auditoria manual não percebeu e ajudou a confirmar que eles eram exploráveis.

Isso se enquadra em um padrão crescente. No final de 2024, o agente Big Sleep do Google encontrou um bug de memória real e explorável no SQLite que a difusão comum não percebeu.

No mês passado, um agente autônomo de IA descobriu 21 bugs de segurança de memória no FFmpeg, outra biblioteca C amplamente incorporada. O ponto de vista do runZero é direto: se um pipeline de IA quase pronto para uso pode funcionar
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #falhas #não #corrigidas #reveladas #no #sistema #de #arquivos #agrupadas #em #milhões #de #dispositivos #incorporados
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment