A Microsoft descreveu uma grave vulnerabilidade de segurança do ChromeOS que um de seus pesquisadores relatou ao Google no final de abril.
O bug foi prontamente corrigido e, cerca de um mês depois, mesclado no código do ChromeOS. lançado em 15 de junho de 2022 e detalhado por Redmond em um relatório divulgado na sexta-feira.
A descrição da Microsoft é notável tanto pela gravidade (9,8 de 10) do bug quanto pela inversão do script – tende a ser o Google, particularmente seu grupo Project Zero, que chama a atenção para bugs no software da Microsoft.
Pelo menos desde 2010, os pesquisadores de segurança do Google tinham o hábito de divulgar bugs em software da Microsoft e de outros fornecedores após normalmente 90 dias – mesmo que um patch não tenha sido lançado – no interesse de forçar as empresas a responder a falhas de segurança mais rapidamente.
A Microsoft repreendeu o Google sobre isso várias vezes ao longo dos anos, embora já em 2011, Redmond tenha se mostrado disposto a se adaptar com uma segurança revisada ty que chegou com a notícia de vulnerabilidades do Chrome – embora meses depois que o Google as corrigiu.
A divulgação da falha crítica do ChromeOS pela Microsoft não é um dia zero desde que o Google fez os reparos necessários. Mas permite que a gigante do Windows aponte magnanimamente os problemas no código rígido de um concorrente e dê um tapinha nas costas do Google por seus reparos rápidos.
Um problema crítico
A vulnerabilidade de corrupção de memória do ChromeOS – CVE-2022-2587 – era particularmente grave. Como Jonathan Bar Or, membro da equipe de pesquisa do Microsoft 365 Defender, explica em sua postagem, o problema decorre do uso do D-Bus, um mecanismo de comunicação entre processos (IPC) usado no Linux.
Um serviço D-Bus chamado org.chromium.cras (para ChromiumOS Audio Server) fornece uma maneira de rotear áudio para periféricos adicionados como alto-falantes USB e fones de ouvido Bluetooth. O serviço inclui uma função chamada SetPlayerIdentity, que aceita um argumento de string chamado identity como sua entrada. E o código C da função chama strcpy na biblioteca padrão. Sim, strcpy, que é uma função perigosa.
“Para o engenheiro de segurança experiente, a menção de a função strcpy imediatamente levanta bandeiras vermelhas", explica Jonathan Bar Or. "A função strcpy é conhecida por causar várias vulnerabilidades de corrupção de memória, pois não executa nenhuma verificação de limites e, portanto, é considerada insegura.
“Como não há verificações de limites no argumento de identidade fornecido pelo usuário antes de invocar strcpy (além da mensagem padrão limitações de comprimento para mensagens D-Bus), estávamos confiantes de que poderíamos acionar um estouro de buffer baseado em heap, desencadeando, portanto, uma vulnerabilidade de corrupção de memória.”
Dois anos depois, a Apple As VPNs do iOS ainda vazam endereços IP Google, Apple squash bugs de navegador exploráveis A verdade sobre aquele projeto de lei que proíbe o Tio Sam de comprar software inseguro
