90天期限已过，谷歌研究团队公开曝光ChromeOS笔记本高危严重性US

感谢IT家庭用户在华南吴彦祖的线索传递！

据Neowin介绍，Project Zero是谷歌的一个团队，负责发现不同产品的安全漏洞，然后私下上报给相应的供应商。并规定在问题公布前有90天的期限来解决问题。在某些情况下，也可以提供14天的宽限期。

Project Zero此前曾报道过谷歌自己的产品和属于其他产品的重大问题，如Windows、iPhone、高通Adreno GPU、GitHub等现在，在相关团队未能在规定的90天内修复后，该团队公开披露了Chrome OS中的一个错误Bug。

涉及到Chrome OS在设备锁定的情况下如何处理USB设备。本质上，Chrome OS使用USBGuard来配置USB设备的允许列表和阻止列表。但是，此框架的错误配置可能会导致未经验证的USB设备能够访问PC的内核和存储。

正如谷歌Project Zero的安全研究员Jann Horn所描述的，Chrome OS中的USBGuard有一个阻止列表，它不使用特定的类接口描述符来验证锁定屏幕上的USB设备。但是，在此验证之后，将允许所有其他接口。

这意味着，虽然未经认证的USB设备会在锁定屏幕上被正确阻止，但其他设备可以模拟海量存储设备，修改攻击者的内核，使其看起来不像USB设备，并通过认证。这是因为USB类与内核无关，所以它也允许来自表面上经过验证的设备的修改。扬恩·霍恩指出:

“除了不属于这些USB接口类的设备的驱动程序中存在大量攻击面的问题之外，这种方法还有一个问题:内核通常不会关心设备声称属于哪个USB类。USB驱动程序的工作方式，即使对于标准化协议，驱动程序也以低优先级指定它希望使用适当的USB接口类绑定到符合标准的设备，但它也以高优先级指定它希望根据供应商ID和产品ID绑定到特定的USB设备，而不管它们的USB接口类。

如果我们用一个配有适当硬件的Linux设备(我用的是NET2380开发板，但你也可以用一个未上锁的Pixel手机或Raspberry Pi Zero W或类似的东西)来模拟一个USB海量存储设备，用(这个)并在攻击者的内核中修补一行代码，让它自称是一个广告牌，而不是存储设备。"

此问题被标记为高风险和严重漏洞，并于2月24日私下报告给了Chrome OS团队。然而，在对该漏洞进行分类后，该团队将其指定为低严重性漏洞，并于3月1日表示，将通过基于驱动程序而非类接口描述符的匹配来解决问题。5月11日，Chrome OS团队提供了进度更新，但由于无法在规定的90天内修复漏洞，该问题于5月24日公开曝光。

目前尚不清楚该补丁将于何时推出，但需要注意的是，这是一个本地漏洞，需要攻击者手动插入USB来篡改设备及其内核，无法远程利用。