Google Membahas Kerentanan USB Serius di ChromeOS

Google Membahas Kerentanan USB Serius di ChromeOS


Ada kerentanan serius di ChromeOS yang memungkinkan penyerang mengakses kernel dan memori komputer melalui perangkat USB yang tidak diautentikasi. Ini sekarang telah diketahui berkat Google Project Zero dari semua hal – dan itu memberi masalah rasa tidak enak.

Jadi Google gagal menemukan pembaruan untuk kerentanan, yang diklasifikasikan sebagai parah, pada waktu yang tepat, meskipun masalah tersebut dilaporkan oleh internal Google Project Zero. Selain itu, ada ketidaksepakatan mengenai apakah titik lemahnya adalah satu atau apakah masalahnya dibesar-besarkan.

Either way, bug hanya dapat dieksploitasi secara lokal, yang berarti penyerang membutuhkan akses langsung ke perangkat. Kerentanan tidak dapat dieksploitasi dari jarak jauh. Namun, di masa lalu, peretas hanya terlihat menggunakan celah ini dengan mendistribusikan drive USB yang dimanipulasi.

faktor waktu

Seperti peneliti keamanan lainnya, Google Project Zero hanya membuat kerentanan publik jika pabrikan gagal memperbaiki kesalahan dalam waktu 90 hari. Sekarang, orang benar-benar harus berpikir bahwa grup tersebut harus sangat tertarik agar tim peneliti keamanannya sendiri tidak merusak masalah keamanan yang Chromium OS dengan hormat. Namun, memperbaiki kerentanan bukanlah prioritas.

Dimana titik lemahnya?

Masalah tersebut memengaruhi cara ChromeOS menangani perangkat USB saat perangkat terkunci. Pada dasarnya, ChromeOS menggunakan USBGuard untuk menyiapkan daftar izinkan dan blokir untuk perangkat USB. Namun, konfigurasi yang salah dari kerangka kerja ini dapat memungkinkan perangkat USB yang tidak diautentikasi untuk mengakses kernel dan memori PC.

Tetap Peneliti keamanan Google Project Zero Jann Horn menjelaskan, USBGuard di ChromeOS memiliki daftar blokir yang tidak mengautentikasi perangkat USB dengan deskriptor antarmuka kelas tertentu pada layar yang terkunci. Namun, setelah validasi ini, semua antarmuka lain diizinkan. Ini berarti bahwa perangkat USB yang tidak diautentikasi akan diblokir dengan benar di layar kunci, tetapi perangkat lain yang terhubung tidak.

READ  Samsung Galaxy M21s dirilis, detail dan perbedaan dengan yang sebelumnya ada di sini

Perubahan kecil datang

“Selain masalah bahwa ada permukaan serangan besar di driver untuk perangkat yang tidak termasuk dalam kelas antarmuka USB ini, ada masalah lain dengan pendekatan ini,” kata Horn. “Kernel sering tidak peduli dengan kelas USB yang diklaim sebagai milik perangkat. Cara kerja driver USB, bahkan dengan protokol standar, adalah bahwa driver berprioritas rendah mengatakan itu untuk perangkat yang sesuai. dengan standar dan ingin mengikat ke kelas antarmuka USB yang benar, tetapi juga menetapkan dengan prioritas tinggi bahwa ia ingin mengikat ke perangkat USB tertentu berdasarkan vendor dan ID produk terlepas dari kelas d ‘antarmuka USB.’

Masalah ini telah diklasifikasikan sebagai kerentanan kritis oleh Project Zero dan dilaporkan pada bulan Februari. Namun, setelah tim ChromeOS menilai kerentanan, mereka mengklasifikasikannya sebagai kerentanan dengan tingkat keparahan rendah dan mengatakan pada 1 Maret bahwa mereka akan memperbaiki masalah dengan memetakan berdasarkan driver daripada antarmuka kelas – Membuat deskriptor. Namun, masih belum diketahui kapan patch akan dirilis.

Lihat juga:


Internet, keamanan, pelanggaran keamanan, hacker, keamanan, menyerang, peretasan, trojan, virus, kejahatan, malware, mengeksploitasi, kejahatan dunia maya, keamanan siber, peretasan, sistem, serangan hacker, kejahatan internet, peretasan, serangan hacker, Serangan hacker, menyerang, hacks , diretas, kejahatan, hama, diretas, sistem diretas
Internet, keamanan, pelanggaran keamanan, hacker, keamanan, menyerang, peretasan, trojan, virus, kejahatan, malware, mengeksploitasi, kejahatan dunia maya, keamanan siber, peretasan, sistem, serangan hacker, kejahatan internet, peretasan, serangan hacker, Serangan hacker, menyerang, hacks , diretas, kejahatan, hama, diretas, sistem diretas

Written By
More from Munir Rad
Kellyanne Conway mengumumkan dia meninggalkan Gedung Putih
“Saya akan beralih dari Gedung Putih pada akhir bulan ini. George juga...
Read More
Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *