🐟 (@stevessr)数百万台嵌入式设备捆绑的文件系统中存在未修复的漏洞 | Fatfs 中发帖

[!quote]+ 
安全公司 runZero 披露了 FatFs 中的七个漏洞,FatFs 是一个小型文件系统库,允许设备读取和写入 USB 驱动器和 SD 卡上使用的 FAT 和 exFAT 格式。
在受影响最严重的系统中,攻击者如果将装有恶意代码的 USB 驱动器、SD 卡或更新文件植入设备,就可以破坏设备的内存并运行自己的代码。
许多嵌入式设备缺乏手机和台式机上的内存保护机制,因此 runZero 指出“任何物理接触都会导致越狱”。公共信息亭、带 SD 卡槽的摄像头、ATM 机或带 USB 接口的投票机,在被短暂物理接触后,本不应该轻易交出完全控制权,但 runZero 却做到了。
这七个漏洞的基本原理相同。设备尝试读取故意损坏的存储卷或固件映像,而 FatFs 无法正确处理这些错误数据。runZero 将这组漏洞的 CVSS 评级为中等到高,没有严重漏洞。
此次漏洞...