Die Schwachstelle betrifft FatFs, eine weit verbreitete Bibliothek zur Ansteuerung von FAT-Dateisystemen, wie sie vor allem in eingebetteten Systemen und Mikrocontrollern eingesetzt wird. Sie steht im Zusammenhang mit der Verarbeitung langer Dateinamen (Long File Name, LFN). Ist diese Funktion aktiviert, kann der von FatFs zurückgelieferte Dateiname deutlich länger ausfallen, als viele aufrufende Programme erwarten. Das eigentliche Problem liegt im Zusammenspiel: Zahlreiche Aufrufer kopieren diesen Namen in fest dimensionierte, kurze Puffer, ohne zuvor dessen Länge zu prüfen. Ist der Name länger als der Zielpuffer, wird über dessen Grenze hinaus geschrieben – ein klassischer Pufferüberlauf, weil die Größe der Eingabe vor dem Kopieren nicht kontrolliert wird. Ein solcher Überlauf kann Speicher benachbarter Daten überschreiben und je nach System zu Abstürzen oder zur Manipulation des Programmablaufs führen. Betroffen ist damit weniger FatFs selbst als vielmehr die große Zahl darauf aufbauender Anwendungen, die die zurückgegebenen Dateinamen ungeprüft weiterverarbeiten.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Wochenrückblick: Schlag gegen NetNut und lange Liste neuer Schwachstellen 06.07.2026