
FatFs 七個漏洞點解會扯到 USB、SD 卡、IoT 同硬件錢包
重點係 firmware 點讀儲存媒體,唔好當所有卡都中招
發生咩事
iThome 報道,runZero 喺 2026 年 7 月 1 日披露 FatFs 一批漏洞,總共 7 個 CVE,影響 R0.16 同之前版本。FatFs 唔係你平時會喺設定頁見到嘅 app,佢係好多 MCU firmware 直接拎去用嘅 FAT/exFAT 檔案系統模組;相機、監控、無人機、3D printer、工控盒仔、甚至硬件錢包,插 SD 卡或者 USB 儲存裝置嗰一刻,就可能要靠呢類程式碼去讀目錄、檔名、容量同更新檔。
今次最容易誤會嘅位係:漏洞唔係藏喺每張 SD 卡或者每枝 USB 手指入面。危險喺於有人可以整一個特製 FAT/exFAT/GPT 映像,畀受影響 firmware 掛載;如果裝置又自動讀磁碟標籤、長檔名、檔案大小或者更新容器,錯誤處理就可能變成 crash、資料外洩、RAM 入面嘅資料俾改亂,嚴重時甚至有機會行到攻擊者嘅 code。簡單講,問題唔係張卡本身,而係裝置 firmware 入面嗰份 FatFs 要補。
點樣中招
runZero 將三個高風險排喺前面:CVE-2026-6682 係 FAT32 掛載時計錯數,之後下游程式可能信錯檔案大小;CVE-2026-6687 係 exFAT volume label 長度收唔實;CVE-2026-6688 就係長檔名同固定長度 buffer 撞埋一齊。聽落似好底層,但嵌入式產品成日為咗慳 RAM、慳 flash,會拎 sample code、SDK 或舊版 ff.c 直接放入 firmware;錯一次,就可以喺唔同品牌、唔同產品線入面散開。
另外四個中風險包咗 exFAT 寫入/同步 crash、GPT 掃描 loop、dirty cache 算錯同 seek 過 EOF 後露出舊 cluster 資料。對普通 notebook,OS 層面防護多好多;對裸機 MCU 或冇完整 MMU/ASLR 嘅裝置,呢啲「讀卡」位就敏感得多。尤其係 firmware 更新流程,如果先掛載更新映像,之後先驗簽,攻擊面會由插卡擴到 OTA 或下載更新檔。
影響邊啲產品
runZero 點名嘅生態包括 Espressif ESP-IDF、STMicroelectronics STM32Cube FatFS middleware、Zephyr、MicroPython、ArduPilot、RT-Thread、Mbed 同 Samsung TizenRT;研究 repo 入面仲列到 NodeMCU、ChibiOS、grblHAL、Keystone3 firmware 等例子。但呢份清單唔等於每件產品都可以俾同一招打穿,實際風險要睇廠商用邊個 FatFs 版本、有冇開 exFAT/LFN/GPT、有冇自己寫 wrapper、有冇先驗證更新檔。
呢點亦係香港家庭同中小企要留意嘅位。唔少監控鏡頭、門禁機、NAS 周邊、路由器 USB 分享、工控 panel、打印機、POS 或維修工具,都會同 SD/USB 儲存裝置打交道;呢啲設備好多年冇 firmware 更新都唔出奇。最麻煩唔係你部電腦插咗一枝普通手指,係某個放喺角落、平時冇人理嘅盒仔,會自動讀一張卡,讀完先知出事。
而家補唔補到
截至 2026 年 7 月 6 日,FatFs 官方網站仍見 R0.16 download,最新 patch 標示日期係 2025 年 9 月 13 日。NVD 同 runZero 對幾個高風險項目都寫明 R0.16 同之前版本受影響,所以廠商唔可以淨係答「我哋已經用最新版」就算。R0.16 對 GPT 掃描 loop 有防護,對某啲 exFAT crash 位亦有部分 guard,但唔係一粒銀彈。
runZero 喺披露時間線話,4 月底起嘗試聯絡 ChaN 同經 JPCERT/CC 協調,但冇收到維護者回覆,最後 7 月 1 日公開漏洞資料同測試 repo。呢種小型上游模組最煩就係版本散到周圍,產品廠又可能改過 local copy;就算上游日後補咗,落到每件裝置 firmware 都仲要等廠商整合、測試、推送。
可以點減風險
普通用家第一步好簡單:監控、無人機、硬件錢包、路由器、3D printer 呢類會食 SD/USB 嘅設備,開 app 或管理頁睇 firmware 更新,尤其係廠商公告有冇提 FatFs、FAT/exFAT、USB storage、SD card 或 bootloader。唔好插來歷唔清楚嘅卡同 USB 手指;維修、借機、二手交收之後,最好用可信電腦重新格式化媒體,更新檔只喺官方網站或官方 app 下載。
公司 IT 同 OT 團隊要做嘅就唔係等 antivirus 報警,因為好多受影響嘅 MCU 裝置根本冇 agent、冇 log、冇 EDR。盤點邊啲設備有 USB/SD slot、邊啲會用 removable media 更新 firmware,向供應商問清楚有冇用 FatFs、版本係咩、有冇開 LFN/exFAT/GPT;可以閂就閂外置媒體功能,閂唔到就鎖實實體 port、限制邊個可以換卡,重要設備要喺更新映像掛載之前做簽名驗證。
呢件事嘅 take 係,舊式 USB/SD 風險唔止係「唔好亂插手指」咁簡單。一段細細份 C code 如果俾唔同 SDK 同 firmware copy 咗好多年,要補漏洞就唔止係更新一個上游 repo,仲要逐件產品盤點。用家睇 firmware,企業查資產同問廠,廠商就要 audit 自己嘅 FatFs wrapper;下一步要睇邊啲下游項目先出修補公告。
參考來源
- iThome — 【資安日報】7月6日,檔案系統元件FatFs弱點恐影響大量隨身碟與SD記憶卡 — original report
- iThome FatFs 漏洞詳報 — 核對 iThome 對 CVE 分級、受影響生態同防護建議嘅整理。
- runZero:Seven FatFs bugs, one very large blast radius — primary source:runZero 披露 7 個漏洞、影響生態、攻擊路徑同披露時間線。
- runZero GitHub research repo — 研究 repo:列出受影響項目、PoC/test harness、CVE 摘要同攻擊條件。
- NVD CVE-2026-6682 — 核對 CVE-2026-6682 描述、CVSS 7.6 同 R0.16/之前版本範圍。
- NVD CVE-2026-6687 — 核對 exFAT label stack overflow、CVSS 同版本範圍。
- NVD CVE-2026-6688 — 核對 LFN 下游 buffer overflow、CVSS 同版本範圍。
- FatFs 官方首頁 — 官方 FatFs 頁:核對 FatFs 定位、功能、R0.16 download 同 latest patch 日期。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







