GoogleのProject Zero、Chrome OSの未修正脆弱性を公表

2022年5月30日 16:20

印刷

記事提供元:スラド

headless 曰く、 Google の Projecto Zero は 5 月 26 日、報告から未修正のまま 90 日間が経過した Chrome OS の脆弱性を公表した(Issue 2264Neowin の記事)。

Chrome OS では画面ロック時に BadUSB などの攻撃から保護するため USBGuard を用いるが、接続を許可・拒否する USB デバイスをリストアップしたポリシーに問題があり、接続を拒否すべき USB デバイスの接続を許可してしまう可能性があるという。

Project Zero では深刻度「高」のタグを付けているが、2 月 24 日に報告を受けた Chromium チームは深刻度「低」としてトリアージしており、ドライバーを基準にマッチングを行うという緩和策も役に立たないとのこと。5 月 25 日に報告から 90 日が経過した。なお、この脆弱性は単独で攻撃に使用できるものではないものの、画面ロック時の USB による攻撃の可能性を広げるとのことだ。

 スラドのコメントを読む | セキュリティセクション | Google | セキュリティ | OS | Chromium | IT | Chrome | バグ

 関連ストーリー:
Google、旧型の PC / Mac を延命可能な Chrome OS Flex を発表 2022年02月19日
Google Chrome のアイコン、8 年ぶりに変更へ 2022年02月05日
Microsoft、教育向けバージョンとなる「Windows 11 SE」を発表 2021年11月11日
Chrome OS アップデート後にログインできなくなるトラブル、原因は 1 文字の Typo 2021年07月23日
あらゆるUSBデバイスを攻撃に転用可能な「BadUSB」、Black Hatにてデモ予定 2014年08月02日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事