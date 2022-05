Project Zero è il team di Google che ha il compito di scoprire i difetti di sicurezza in diversi prodotti e segnalarli privatamente al soggetto responsabile. Normalmente, se entro 90 giorni non viene corretta, la vulnerabilità viene resa pubblica.

Ora il team ha rivelato pubblicamente un bug di sicurezza presente in Chrome OS, visto che non è stato risolto nei tempi stabiliti.

La vulnerabilità riguarda il modo in cui Chrome OS gestisce i device USB quando il dispositivo è bloccato. In pratica Chrome OS utilizza USBGuard per creare le liste per i dispositivi USB consentiti e non, tuttavia configurazioni errate di questo framework potrebbero consentire a dispositivi USB non autenticati di accedere al kernel e ai dati del PC.

La criticità sarebbe collegata al fatto che spesso il kernel non si preoccupa della classe USB alla quale un dispositivo afferma di appartenere.

Il team di Chrome OS ha classificato la vulnerabilità di gravità bassa

Questo problema è stato segnalato come una vulnerabilità di gravità elevata e segnalato privatamente al team di Chrome OS il 24 febbraio, ma dopo aver valutato il difetto, il team lo ha classificato come vulnerabilità di gravità bassa e il 1 marzo ha dichiarato che lo avrebbe risolto.

L’11 maggio il team di Chrome OS ha fornito un aggiornamento sui progressi, ma poiché non è stato in grado di correggere il difetto nei 90 giorni assegnati, il problema è stato esposto pubblicamente il 24 maggio.

Al momento non è chiaro quando verrà implementata una patch, tuttavia si tratta di una vulnerabilità che non può essere sfruttata in remoto, in quanto un malintenzionato deve inserire un dispositivo USB nel PC della vittima per poterlo manomettere. Forse è questo il motivo per cui il team di Chrome OS ha classificato la vulnerabilità con gravità bassa.

