Google Project Zero ha segnalato pubblicamente una vulnerabilità di alta gravità in Chrome OS

Google Project Zero ha segnalato pubblicamente una vulnerabilità di alta gravità in Chrome OS
Antonio Lepore
Antonio Lepore

Project Zero è il team di Google che ha il compito di scoprire e segnalare privatamente i difetti di sicurezza riscontrati vari prodotti. Successivamente, gli sviluppatori avranno 90 giorni di tempo per correggere il problema. In caso contrario, la vulnerabilità riscontrata viene resa pubblica.

E proprio questo è ciò che è capitato a Chrome OS. Il problema non risolto entro i 90 giorni riguarda la gestione dei dispositivi USB quando il device è bloccato. In sostanza, Chrome OS utilizza USBGuard per configurare le varie impostazioni. Tuttavia, alcune configurazioni errate di questo framework potrebbero consentire ai dispositivi USB non autenticati di accedere al kernel e all'archiviazione del PC.

Questa criticità è stata segnalata come vulnerabilità di gravità elevata privatamente al team di Chrome OS il 24 febbraio. Tuttavia, dopo aver valutato il difetto, il team l'ha valutato come vulnerabilità di gravità bassa fino ad arrivare ad oggi con ancora il problema irrisolto. A riguardo, non è chiaro quando verrà rilasciata una patch correttiva.

Via: NeoWin
Fonte: BugsChromium
Mostra i commenti