90天期限已过，谷歌研究团队公开曝光ChromeOS笔记本高

　　感谢IT之家网友华南吴彦祖的线索投递！
　　IT之家5月27日消息，据Neowin报道，ProjectZero是Google的团队，负责发现不同产品中的安全漏洞，然后私下将它们报告给相应的供应商。并提供了90天的最后期限，以便在问题公开之前对其进行修补。在某些情况下，也可能会提供14天的宽限期。
　　GoogleProjectZero此前曾报告过Google自己的产品以及属于其他产品的重大问题，例如Windows、iPhone、QualcommAdrenoGPU、GitHub等。现在，在相关团队未能在规定的90天内修复之后，该团队公开披露了ChromeOS中的一个错误Bug。
　　问题涉及ChromeOS在设备锁定时如何处理USB设备。本质上，ChromeOS使用USBGuard为USB设备配置允许列表和阻止列表。但是，此框架的错误配置可能导致未经身份验证的USB设备能够访问PC的内核和存储。
　　正如GoogleProjectZero安全研究员JannHorn所描述的那样，ChromeOS中的USBGuard有一个阻止列表，它不会在锁定的屏幕上使用特定的类接口描述符来验证USB设备。但是，在此验证之后，将允许所有其他接口。
　　这意味着，虽然未经身份验证的USB设备将在锁定屏幕上被正确阻止，但其他设备可以模拟大容量存储设备，修改攻击者内核使其不显示为USB设备，并通过身份验证。这是因为USB类对内核无关紧要，因此它也允许从看似经过身份验证的设备进行修改。JannHorn指出：除了不属于这些USB接口类设备的驱动程序中存在大量攻击面的问题之外，这种方法还有另一个问题：内核通常不关心设备声称属于哪个USB类。USB驱动程序倾向于工作的方式，即使对于标准化协议，驱动程序以低优先级指定它希望使用适当的USB接口类绑定到符合标准的设备，但也以高优先级指定它希望根据VendorID和ProductID绑定到特定的USB设备，而不关心它们的USB接口类。
　　〔。。。〕如果我们使用具有适当硬件的Linux设备（我使用的是NET2380开发板，但你也可以使用解锁的Pixel手机或RaspberryPiZeroW或类似的东西）来模拟USB大容量存储设备，使用（this），并在攻击者内核中修补一行，使其声称是广告牌，而不是存储设备。
　　此问题被标记为高危严重性漏洞，并于2月24日私下向ChromeOS团队报告。然而，在对该漏洞进行分类后，该团队将其指定为低严重性漏洞，并在3月1日表示将通过匹配来解决问题基于驱动程序而不是类接口描述符。5月11日，ChromeOS团队提供了进度更新，但由于无法在规定的90天内修复该漏洞，该问题于5月24日被公开曝光。
　　目前尚不清楚补丁何时推出，但需要注意的是，这是一个本地漏洞，需要攻击者手动插入USB来篡改设备及其内核，不能被远程利用。