Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

The only AI glossary you’ll need this year

Se encuentran fallas sin parchear en sistemas de archivos incluidos en millones de dispositivos integrados

La nueva falla ‘Bad Epoll’ en el kernel de Linux permite a usuarios sin privilegios obtener privilegios de root y comprometer Android

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Se encuentran fallas sin parchear en sistemas de archivos incluidos en millones de dispositivos integrados
Identidad

Se encuentran fallas sin parchear en sistemas de archivos incluidos en millones de dispositivos integrados

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 3, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

La empresa de seguridad runZero ha revelado siete vulnerabilidades en FatFs, una pequeña biblioteca de sistema de archivos que permite a los dispositivos leer y escribir formatos FAT y exFAT utilizados en unidades USB y tarjetas SD.

El defecto es importante porque los FatF son casi omnipresentes. Está integrado en el firmware que ejecuta cámaras de seguridad, drones, controladores industriales, billeteras criptográficas de hardware y otros dispositivos integrados en sistemas operativos en tiempo real.

En los sistemas más gravemente afectados, si un atacante obtiene una unidad USB, una tarjeta SD o un archivo de actualización con trampa explosiva en el dispositivo, puede dañar la memoria y ejecutar su propio código.

Debido a que muchos dispositivos integrados no tienen las mismas protecciones de memoria que se encuentran en los teléfonos móviles y computadoras de escritorio, runZero dice que «el acceso físico conduce al jailbreak». Los quioscos públicos, las cámaras con ranuras para tarjetas SD, los cajeros automáticos o las máquinas de votación con puertos USB no deberían ceder el control total en el momento en que accedes físicamente a ellos, pero aquí puedes hacerlo.

Los siete errores funcionan esencialmente de la misma manera. El dispositivo intenta intencionalmente leer un volumen de almacenamiento o una imagen de firmware con formato incorrecto y FatFs maneja incorrectamente los datos con formato incorrecto. runZero calificó el CVSS del equipo como «moderado» a «alto», pero no crítico.

El error principal es CVE-2026-6682 (CVSS 7.6), un desbordamiento de enteros en el código que monta volúmenes FAT32. Un cálculo incorrecto puede producir un tamaño de archivo incorrecto, que el código posterior trata como la longitud de lectura real. En hardware real, pueden producirse daños en la memoria y ejecución de código.

Los siete se enumeran a continuación. Las peores clasificaciones según runZero son:

CVE-2026-6682 (7.6, alto): desbordamiento de enteros de montaje FAT32 que provoca corrupción de memoria y posible ejecución de código. Se puede acceder a él a través de medios físicos, así como a través de algunas actualizaciones de firmware. CVE-2026-6687 (7.6, alto): el campo de etiqueta de volumen exFAT desborda un pequeño búfer, lo que brinda a los atacantes un punto de apoyo para limpiar la memoria. CVE-2026-6688 (7.6, alto): los nombres de archivos largos desbordan el código contenedor en muchos proyectos ubicados alrededor de FatF, como strcpy de fno.fname en un búfer fijo. Es difícil solucionarlo únicamente dentro de los FatF. CVE-2026-6685 (6.1, Medio): El ajuste matemático en el almacenamiento en caché de volúmenes fragmentados puede corromper datos silenciosamente. CVE-2026-6683 (4.6, Medio): exFAT se divide por cero y bloquea el dispositivo. El flujo de actualización tiene el potencial de bloquear su hardware. También se puede acceder a él a través de algunas actualizaciones de firmware. CVE-2026-6686 (4.6, Medio): Los datos sobrantes de un archivo eliminado previamente pueden quedar expuestos cuando un archivo se extiende más allá del final. CVE-2026-6684 (4.6, Medio): Una tabla de particiones GPT (mapa de disco) incorrecta puede provocar que un dispositivo se cuelgue durante el montaje. Este es el único de los siete flujos ascendentes fijados en FatFs R0.16.

Ésta es la parte difícil. FatFs es mantenido por un único desarrollador en un rincón de Internet, y runZero dice que múltiples intentos de contactar al mantenedor, conectados al Centro de Coordinación JPCERT/CC de Japón, quedaron sin respuesta.

Como explica runZero, no existe una solución inicial para el error de corrupción de memoria, no hay una lista de correo de seguridad y no hay forma de saber si muchos productos que incluyen FatF están afectados. Los bloqueos de GPT están bloqueados en la versión actual, por lo que las actualizaciones pueden resolverlos, pero el resto quedará en manos de los proveedores intermedios para que los parcheen por su cuenta.

runZero enumera los nombres de las plataformas afectadas, incluidas Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT y SWUpdate Updater. Esto extiende el problema al IoT de consumo, los equipos industriales, los drones y las carteras criptográficas.

En el momento de la publicación de runZero el 1 de julio, no se había reportado ningún ataque que explotara estos errores, y ninguno ha aparecido desde entonces. Sin embargo, el material del exploit ya está disponible públicamente y runZero envía una imagen de disco de prueba de concepto, un arnés de prueba y una muestra funcional del exploit basada en QEMU en un repositorio complementario.

Al crear firmware para manejar medios FAT o exFAT, el consejo es sencillo. Localice una copia de FatF en su producto, audite el código contenedor que lo rodea, examine cuidadosamente cómo se manejan los nombres y tamaños de los archivos y planifique su aplicación de parches.

Si está ejecutando un dispositivo afectado, apunte a los puertos físicos y los canales de actualización, limite quién puede conectar medios y supervise las actualizaciones de firmware del proveedor.

¿Por qué esto sigue sucediendo?

runZero auditó manualmente los FatF por primera vez en 2017, pero encontró muy poco que valiera la pena informar. En marzo de 2026, el equipo dirigió una configuración lista para usar con el mismo código, Visual Studio Code, GitHub Copilot en modo «automático» y algunas indicaciones simples.

LLM creó un fuzzer, una herramienta que introduce datos incorrectos en su código hasta que algo se rompe. Esto nos permitió confirmar que los errores que las auditorías manuales no detectaron surgieron y eran explotables.

Esto se aplica a los patrones de crecimiento. A finales de 2024, el agente Big Sleep de Google descubrió un error de memoria del mundo real explotable en SQLite que la fuzzización regular pasaba desapercibida.

El mes pasado, un agente autónomo de IA descubrió 21 errores de seguridad de la memoria en FFmpeg, otra biblioteca C ampliamente integrada. El punto de runZero es sencillo. Si un canal de IA, en su mayor parte disponible en el mercado, puede encontrarlos, entonces cualquiera puede encontrarlos, por lo que sentarse en silencio sobre ellos no protege a nadie.

Los problemas con los parches son bien conocidos. runZero espera que las correcciones posteriores lleven años, no días, y PixieFail es un precedente para eso. Nueve errores en 2024 en el código de arranque de red de EDK II, el firmware detrás de muchas marcas de PC y servidores, provocaron que los proveedores tardaran en parchearlos. Los FatF tienen la misma forma pero carecen de capacidad de respuesta en sentido ascendente, lo que da como resultado un proceso de modificación más débil.

Será interesante ver dos cosas: si los mantenedores de FatF reaparecen con un parche y cómo responden los principales proveedores de plataformas que lo incluyen. Hasta que lo haga, suponga que muchos dispositivos de envío leen almacenamiento no confiable que contiene código no modificado.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLa nueva falla ‘Bad Epoll’ en el kernel de Linux permite a usuarios sin privilegios obtener privilegios de root y comprometer Android
Next Article The only AI glossary you’ll need this year
corp@blsindustriaytecnologia.com
  • Website

Related Posts

La nueva falla ‘Bad Epoll’ en el kernel de Linux permite a usuarios sin privilegios obtener privilegios de root y comprometer Android

julio 3, 2026

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

julio 3, 2026

El paquete npm relacionado con Corea del Norte imita el polyfill acumulativo para robar secretos de los desarrolladores

julio 3, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

The only AI glossary you’ll need this year

Se encuentran fallas sin parchear en sistemas de archivos incluidos en millones de dispositivos integrados

La nueva falla ‘Bad Epoll’ en el kernel de Linux permite a usuarios sin privilegios obtener privilegios de root y comprometer Android

Nuevas características de Avalon Malware Framework Pack CrownX Ransomware

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.