微软：我们如何发现 ChromeOS 中的一个严重缺陷

与旧版 Windows 和 MacOS 相比，ChromeOS 被认为是安全的，但微软最近在 ChromeOS 的音频服务器中发现了一个严重的、可远程利用的漏洞，其严重性得分为 9.8 分（满分 10 分）。 

ChromeOS是谷歌基于开源 ChromiumOS 的专有操作系统，它本身由 Linux 提供支持。   

微软安全研究员 Jonathan Bar Or 在 ChromiumOS 音频服务器 (CRAS) 中发现了漏洞，该服务将音频路由到 USB 扬声器和蓝牙耳机等外围设备。

或者发现本地内存损坏问题，可以通过在浏览器中或通过蓝牙操作音频元数据来远程触发。 

“攻击者可能会诱使用户满足这些条件，例如通过简单地在浏览器或配对的蓝牙设备中播放新歌曲，或利用中间对手 (AiTM) 功能远程利用漏洞，”他在一篇博文中解释。 

微软在四月份向谷歌报告了这个问题。谷歌分配了漏洞 CVE-2022-2587 并在 6 月中旬发布了一个补丁，但在报告后的一周内已经开始修复。由于 CRAS 中的越界写入，谷歌将其描述为一个高严重性缺陷。   

或者搜索 ChromeOS 以寻找与他在今年早些时候分析 Linux时发现的 D-Bus 错误类似的问题。

基于 Linux 的 ChromeOS 也可能容易受到类似错误的影响。但是，他指出，由于谷歌专有的强化措施，ChromeOS 通常需要攻击者将多个漏洞链接在一起。因此，与 Windows 或 MacOS 相比，发现的缺陷更少。 

音频服务器漏洞是一个 ChromeOS 特有的内存损坏漏洞，或者在检查名为SetPlayerIdentity的处理函数后发现，该处理函数调用了 C 库函数“ strcpy ”。

“对于经验丰富的安全工程师来说，提及 strcpy 函数会立即引发危险信号，”Jonathan Bar Or 指出。 

“众所周知，strcpy 函数会导致各种内存损坏漏洞，因为它不执行任何边界检查，因此被认为是不安全的。因为在调用 strcpy 之前对用户提供的身份参数没有边界检查（除了默认消息长度限制对于 D-Bus 消息），我们确信我们可以触发基于堆的缓冲区溢出，从而触发内存损坏漏洞。”

基于堆的缓冲区溢出可能导致任意代码执行，但为了使攻击更加危险，他需要一种远程触发它的方法，他发现这可以通过更改音频元数据来完成。这可以在播放新歌曲时通过浏览器实现，或者在从配对的蓝牙设备播放新歌曲时通过蓝牙实现。实际易受攻击的函数是 cras_bt_player_update_identity。

或者称赞谷歌在报告后解决问题的速度。他指出，虽然它不容易被利用，但它对 ChromeOS 设备的影响——可能包括旧的 Mac 和 PC， 多亏了谷歌的 ChromeOS Flex—— 值得谷歌做出这样的回应。