原标题:90 天期限已过,谷歌研究团队公开曝光 Chrome OS 笔记本高危严重性 USB 漏洞
IT之家 5月27日消息,据 Neowin 报道,Project Zero 是 Google 的团队,负责发现不同产品中的安全漏洞,然后私下将它们报告给相应的供应商。并提供了 90 天的最后期限,以便在问题公开之前对其进行修补。在某些情况下,也可能会提供 14 天的宽限期。
Google Project Zero 此前曾报告过 Google 自己的产品以及属于其他产品的重大问题,例如 Windows、iPhone、Qualcomm Adreno GPU、GitHub 等。现在,在相关团队未能在规定的90天内修复之后,该团队公开披露了 Chrome OS 中的一个错误 Bug。
问题涉及 Chrome OS 在设备锁定时如何处理 USB 设备。本质上,Chrome OS 使用 USBGuard 为 USB 设备配置允许列表和阻止列表。但是,此框架的错误配置可能导致未经身份验证的 USB 设备能够访问 PC 的内核和存储。
正如 Google Project Zero 安全研究员 Jann Horn 所描述的那样,Chrome OS 中的 USBGuard 有一个阻止列表,它不会在锁定的屏幕上使用特定的类接口描述符来验证 USB 设备。但是,在此验证之后,将允许所有其他接口。
这意味着,虽然未经身份验证的 USB 设备将在锁定屏幕上被正确阻止,但其他设备可以模拟大容量存储设备,修改攻击者内核使其不显示为 USB 设备,并通过身份验证。这是因为 USB 类对内核无关紧要,因此它也允许从看似经过身份验证的设备进行修改。Jann Horn 指出:
“除了不属于这些 USB 接口类设备的驱动程序中存在大量攻击面的问题之外,这种方法还有另一个问题:内核通常不关心设备声称属于哪个 USB 类。USB 驱动程序倾向于工作的方式,即使对于标准化协议,驱动程序以低优先级指定它希望使用适当的 USB 接口类绑定到符合标准的设备,但也以高优先级指定它希望根据 Vendor ID 和 Product ID 绑定到特定的 USB 设备,而不关心它们的 USB 接口类。
[...] 如果我们使用具有适当硬件的 Linux 设备(我使用的是 NET2380 开发板,但你也可以使用解锁的 Pixel 手机或 Raspberry Pi Zero W 或类似的东西)来模拟 USB 大容量存储设备,使用 (this),并在攻击者内核中修补一行,使其声称是广告牌,而不是存储设备。”
此问题被标记为高危严重性漏洞,并于2月24日私下向 Chrome OS 团队报告。然而,在对该漏洞进行分类后,该团队将其指定为低严重性漏洞,并在3月1日表示将通过匹配来解决问题基于驱动程序而不是类接口描述符。5月11日,Chrome OS 团队提供了进度更新,但由于无法在规定的90天内修复该漏洞,该问题于5月24日被公开曝光。
目前尚不清楚补丁何时推出,但需要注意的是,这是一个本地漏洞,需要攻击者手动插入 USB 来篡改设备及其内核,不能被远程利用。
相关:
微软发布的新鼠标,值得所有外设厂商剽窃|硬哲学这个世界需要更多「包容」图片来自:Engadget如果只看图片,你能猜出这几个方块是什么吗?摇杆、十字键,还是 PPT 遥控笔?这几个黑方块——准确说,这一整套黑方块组合,其实是微软最近发布的一套新的鼠标。是..
中国PC、平板市场现状一览 需求萎缩:华为、荣耀最亮眼根据Canalys的最新报告,2022年第一季度中国的台式机、笔记本和工作站市场的总出货量为1166万,比一年前的1175万略有下降。报告中显示,联想再次成为市场领导者,在此期间的出货量为429万台,市场份额为37%。戴尔..