ChromeOS 文件管理器严重漏洞:Chrome 扩展程序可获取系统完全控制权
2025-05-28
安全研究人员发现ChromeOS文件管理器中存在严重漏洞,允许恶意Chrome扩展程序通过利用filesystem:chrome://file-manager URL读取和写入用户文件,甚至执行任意代码。该漏洞利用了ChromeOS中过时的JavaScript API以及对chrome://页面权限的误配置,最终可实现对系统的完全控制,包括访问用户数据、修改系统设置、甚至通过Crostini运行恶意代码。该漏洞已修复,但凸显了长期设计选择在大型复杂系统中可能被利用的风险。
(0x44.xyz)
安全
ChromeOS漏洞