Chrome OS z częstszymi aktualizacjami i ulepszeniami skanera

Google Project Zero ujawnia groźną lukę w zabezpieczeniach Chrome OS

Po raz kolejny Google Project Zero poinformowało o luce w zabezpieczeniach jakiegoś produktu firmy. Tym razem mamy do czynienia z dość dużym błędem w Chrome OS. O co dokładnie chodzi?

Google Project Zero zajmuje się głównie wykrywaniem luk w zabezpieczeniach produktów Google, choć już niejednokrotnie dało nam znać o problemach zauważonych w Windowsie, iPhone’ach czy produktach Qualcomm. Tym razem jednak mamy do czynienia z błędem w systemie operacyjnym Chrome.

Czytaj też: ProtonMail przechodzi zmiany. Znika stara nazwa, zastąpiona przez nową, ujednoliconą markę

Zgodnie z praktyką przyjętą przez giganta z Mountain View, po zgłoszeniu błędu wyspecjalizowanemu zespołowi, programiści mają 90 dni na naprawienie problemu, w przeciwnym razie ta luka – która do tej pory pozostawała prywatna, a więc bez medialnego szumu w sieci – zostanie upubliczniona. Z racji, że nie udało się go rozwiązać, dlatego informacja o nim pojawiła się w Internecie.

Duża luka w zabezpieczeniach USB w Chrome OS

Badacze publicznie ujawnili błąd dotyczący sposobu, w jaki system operacyjny Chrome, po zablokowaniu urządzenia, obsługuje USB. Normalnie Chrome OS używa narzędzia USBGuard, dzięki któremu konfiguruje listę dozwolonych i zablokowanych działań dla urządzeń USB. Dzięki temu ogranicza ich dostęp do istotnych rzeczy na komputerze.

Czytaj też: Wykryto niecodzienne złośliwe oprogramowanie. Takich żądań cyberprzestępcy jeszcze chyba nigdy nie stawiali

Tymczasem nowo odkryty błąd generuje nieprawidłową konfigurację tego framworka, co z kolei może prowadzić do tego, że nieuwierzytelnione urządzenia USB mogą uzyskać dostęp do jądra i pamięci komputera. Warto tutaj zaznaczyć, że do wykorzystania tej luki w zabezpieczeniach konieczne jest, by atakujący ręcznie wpiął nośnik USB do sprzętu w celu manipulowania urządzeniem i jego jądrem. Nie da się wykorzystać tego zdalnie.

Czytaj też: Google ostrzega: groźne spyware Alien obrało sobie za cel użytkowników Androida

Tak czy inaczej, Google Project Zero zgłosiło tę lukę zespołowi Chrome oS 24 lutego. Oznaczono ją jako problem o wysokim poziomie ważności, tymczasem wspomniany zespół po zbadaniu usterki… przypisał jej niski poziom ważności i nic nie zrobił w kierunku jej rozwiązania. Nie wiadomo więc kiedy można spodziewać się odpowiedniej poprawki, choć mamy nadzieję, że po upublicznieniu błędu, zespół Chrome OS postanowi naprawić go jak najszybciej.