
FatFs 7 個漏洞要理:SD 卡同 firmware 更新都可能係入口
重點係裝置自動 mount 外來 FAT/exFAT 映像嗰刻
件事有咩要緊
iThome 報道,runZero 喺 2026 年 7 月初公開 FatFs R0.16 同再舊版本 7 個漏洞,最高幾個 CVSS 去到 7.6,NVD 條目都已經列出 CVE-2026-6682、CVE-2026-6687、CVE-2026-6688 呢幾個高危洞。呢件事值得睇,因為 FatFs 唔係 desktop app,佢係好多嵌入式產品入面負責讀 FAT/exFAT 嘅細件 C module。攻擊入口多數係精心整過嘅 FAT、exFAT 或 GPT 映像,經 SD 卡、USB 手指、讀卡器,甚至 firmware 更新包俾裝置自動 mount。換句話講,唔使見到 USB/SD 就驚,但有啲會自動讀外來儲存嘅裝置,風險真係要重新估。
FatFs 係咩
FatFs 官方頁寫明,呢個 module 畀細 MCU 同資源有限系統用,自己唔管低層儲存硬件,只提供檔案系統層畀 app 用。呢點好關鍵:洞唔係藏喺張 SD 卡入面,卡只係帶住一個會觸發 parser 嘅檔案系統結構;真正出事嘅係相機、行車 cam、3D printer、router/IoT、工控盒、開發板或者維修工具入面嗰份 FatFs 同佢外圍 wrapper。好多產品用咗幾年都未必有 SBOM,IT/admin 未必一眼睇到自己中唔中。
今次漏洞點打
最值得拆開睇嘅係三個高危洞。CVE-2026-6682 係 FAT32 mount 時計錯數,可能令下游 code 信咗假 file size,再變成過長 read 同 memory corruption;CVE-2026-6687 係 exFAT label 長度冇收緊,f_getlabel() 有 stack overflow 風險;CVE-2026-6688 麻煩位係 wrapper,FatFs 交出長 filename,外圍 code 如果照抄入細 buffer 就爆。其餘幾個偏向資料損壞、crash、舊資料外洩同 GPT 掃描卡死。runZero GitHub 寫明,R0.16 修到 GPT 掃描嗰個 CVE-2026-6684,對 CVE-2026-6683 只係擋到部分情況,其餘 5 個未見 upstream 修補做法。
點解舊嘢而家先爆
有趣位係,呢批洞嘅來源幾老派:FatFs 本身長期擺喺大量 firmware 入面,新一輪自動化 fuzzing 先摷到以前漏咗嘅邊角。runZero 話佢哋 2017 年做過手動審計同 fuzzing,當時只搵到啲細問題;2026 年 3 月再用 VS Code、GitHub Copilot auto mode 同 prompt 搭 fuzzer,就搵到以前漏咗嘅路徑。呢個背景值得記住:AI 未必識幫你寫好安全 code,但佢令 cheap fuzzing 門檻低咗,舊嵌入式元件會有多啲多年冇人睇過嘅洞浮面。
邊個有真風險
一般 laptop 或手機讀普通 SD 卡,未必同 FatFs 有關;好多 OS 用自己套 FAT driver。風險集中喺細裝置自己讀卡嗰刻,尤其係一插就 mount、一開機就掃、一更新就先讀映像嘅產品。iThome 報道引述 runZero,受影響生態包括 STM32Cube middleware、ESP-IDF、Zephyr RTOS、MicroPython、ArduPilot、RT-Thread、Mbed、TizenRT 同 SWUpdate,下游可以去到 IoT、工控、drone、crypto wallet。呢度唔好自行點名某品牌一定中招,因為每部產品用咩版本、開咗 exFAT/LFN/GPT 未,都要 vendor 或 firmware team 查。
可以點做
用家層面,最實際係更新相機、行車 cam、3D printer、router、NAS 外置儲存位同開發板 firmware;冇得更新嗰啲,就當外來 USB/SD 係唔可信 input,唔好亂插展場、客戶現場、街舖維修、二手機跟機卡。公司 IT 可以分開測試卡同生產裝置,先喺隔離機讀同格式化,再入工控或維修工具;敏感裝置就鎖 USB、關掉用唔著嘅 exFAT/LFN/GPT。Firmware team 要早過 mount 階段驗證 update package 完整性,wrapper copy filename/label 前要做長度檢查,仲要諗 watchdog 同 recovery path,因為有啲洞造成嘅係 crash 或變磚。
下步睇 vendor
今次麻煩位係 downstream:FatFs upstream 未齊 patch,供應商又可能早幾年前 fork 咗一份放入 SDK 或產品樹,之後冇再追。短期嚟講,睇 vendor advisories 同 firmware changelog,實際過淨係睇 CVE 名單。長期就要當可移除儲存裝置係 attack surface,唔好再當佢只係「方便傳檔」。對 SME IT、maker 同影音/攝影工作流,呢個提醒好貼地:唔明來源嘅卡,先隔離處理,唔好直插你靠佢開工嘅設備。
參考來源
- iThome — 小型嵌入式裝置檔案系統元件FatFs存在7個弱點,恐影響大量隨身碟與SD記憶卡,以及配備這些儲存裝置的各種物聯網設備 — original report
- runZero:Seven FatFs bugs, one very large blast radius — 核對原始披露、受影響生態、攻擊入口同公開日期。
- runZero GitHub:vulns-2026-fatfs-chance — 核對 PoC、技術細節、R0.16 修補狀態同 downstream 風險。
- FatFs 官方頁:Generic FAT Filesystem Module — 核對 FatFs module 定位、檔案系統層同 R0.16 download/patch 資料。
- NVD:CVE-2026-6682 — 核對 FAT32 integer overflow 描述、CVSS 同 affected version。
- NVD:CVE-2026-6687 — 核對 exFAT label stack overflow 描述同 CVSS。
- NVD:CVE-2026-6688 — 核對 long filename downstream caller overflow 描述同 CVSS。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







