Son zamanlarda runZero güvenlik şirketi, FatFs adlı küçük bir dosya sistemi kütüphanesinde yedi güvenlik açığı tespit etti. Bu açıkların önemi, FatFs’in pek çok cihazda bulunması ve saldırganların kötü niyetli USB sürücü veya güncelleme dosyaları aracılığıyla cihazların kontrolünü ele geçirebilmesidir.
Saldırı Nasıl Çalışıyor?
Yedi güvenlik açığı, belirli bir şekilde çalışmaktadır; cihaz, kasıtlı olarak hatalı bir şekilde biçimlendirilmiş bir depolama birimini veya firmware dosyasını okumaya çalıştığında, FatFs bu hatalı verileri yanlış bir şekilde işleme alır. runZero, bu açıkların CVSS puanını Orta’dan Yüksek’e kadar değişen seviyelerde değerlendirmiştir, ancak kritik bir açığı bulunmamaktadır.
Etkilenen Sistemler
Açıkların en dikkat çekici olanı, CVE-2026-6682 (CVSS 7.6) olarak tanımlanmaktadır. Bu güvenlik açığı, FAT32 hacmi monte etme kodunda bir tamsayı taşmasıdır. Hatalı hesaplamalar, gerçek bir okuma uzunluğu olarak ele alınacak yanlış bir dosya boyutu üretebilir ve bu da bellek bozulmasına ve kod çalıştırılmasına yol açabilir. FatFs’in diğer güvenlik açıkları şunlardır:
- CVE-2026-6687 (7.6, Yüksek): exFAT hacim etiketi alanının küçük bir tamponu aşması, saldırgana temiz bir bellek bozulma noktasına erişim sağlar.
- CVE-2026-6688 (7.6, Yüksek): uzun dosya adlarının FatFs etrafındaki birçok projeye yerleştirilen sargı kodunu aşması durumunda, düzeltmesi zor bir sorundur.
- CVE-2026-6685 (6.1, Orta): parçalanmış hacimlerdeki önbellek yönetimindeki matematiksel hatalar, verileri sessizce bozabilir.
- CVE-2026-6683 (4.6, Orta): bir exFAT sıfıra bölme hatası, cihazı çökertir. Güncellemelerle birlikte donanımın kullanılamaz hale gelmesine neden olabilir.
- CVE-2026-6686 (4.6, Orta): bir dosyanın sonunun ötesine uzaması, daha önce silinmiş dosyalardan kalan verilerin sızmasına neden olabilir.
- CVE-2026-6684 (4.6, Orta): hatalı biçimlendirilmiş bir GPT bölümleme tablosu, montaj sırasında cihazı dondurabilir.
Çözüm ve Korunma
runZero, FatFs’i geliştiren kişinin çok sayıda üründe bu kütüphanenin kullanıldığını ve güvenlik güncellemeleri almakta zorlandıklarını belirtmektedir. Güncel sürüm, yalnızca GPT dondurma sorununu çözmektedir, ancak diğer tüm açıklar, ortaya çıkan ürünler tarafından yamanmalıdır.
Eğer bir cihaz geliştiriyorsanız, FatFs’in kopyasını bulmalı, etrafındaki sargı kodunu denetlemeli ve dosya adları ile boyutlarını nasıl yönettiğinizi gözden geçirmelisiniz. Ayrıca bu açıklar için bir yamanın gerekli olup olmadığını değerlendirmelisiniz.
Etkilenen cihazları yönetenler, fiziksel bağlantı noktalarını ve güncelleme kanallarını bir saldırı yüzeyi olarak değerlendirmelidir: medya eklemesine izin verenleri sınırlandırmalı ve üretici yazılım güncellemelerini takip etmelidir.
Gelecek Öngörüleri
runZero, FatFs için yukarıdan gelen bir düzeltmenin olmaması ve uzun süreli yamaların beklenmesi gibi sorunların devam edeceğini öngörmektedir. Açıkların istismar edilmesinin önüne geçmek için, ilgili ürünlerin güncellemelerini öncelikli olarak takip edilmesi gerekmektedir.


