Vulnerabilidad crítica en ChromeOS: Compromiso total del sistema a través de extensiones de Chrome
Un investigador de seguridad descubrió una vulnerabilidad crítica en el administrador de archivos de ChromeOS que permite a las extensiones maliciosas de Chrome obtener control total del sistema. Al explotar una URL filesystem:chrome://file-manager, la vulnerabilidad permite leer y escribir archivos de usuario y ejecutar código arbitrario. La falla aprovecha las API de JavaScript obsoletas en ChromeOS y las configuraciones incorrectas de los permisos de las páginas chrome://. El atacante puede lograr un compromiso total del sistema, acceder a los datos del usuario, modificar la configuración del sistema e incluso ejecutar código malicioso a través de Crostini. Si bien se ha solucionado, la vulnerabilidad destaca el riesgo de las decisiones de diseño a largo plazo en sistemas grandes y complejos como Chrome/ChromeOS.