Oletko asentanut Logitech Optionsin? Vakava haavoittuvuus paljastui

Logitechin näppäimistöjen, hiirien ja kosketuslevyohjainten hallintaohjelmisto Logitech Optionsista on paljastettu vakava haavoittuvuus.

Googlen Project Zero -tietoturvaryhmän tutkija löysi haavoittuvuuden syyskuussa ja tiedot siitä paljastettiin 90 päivän jälkeen, kun Logitech ei ollut päivitystä vielä julkaissut. Sittemmin Logitech on julkaissut 13. joulukuuta päivityksen, jonka pitäisi sen mukaan korjata ongelma. Raportoidusti se ei kuitenkaan välttämättä todellisuudessa korjaa haavoittuvuutta, ainakaan täysin.

Verkkosivujen kautta onnistuvan hyökkäyksen kautta hyökkääjä voi päästä syöttämään haluamiaan näppäinkomentoja laitteelle. Tämä tekee mahdolliseksi koko laitteen haltuun ottamisen. Haavoittuvuus syntyy Logitech Options -ohjelmiston yhteydestä, jonka osalta ainoana tunnistautumiskeinona käytetään PID-tuotetunnistetta. Tunnisteiden syöttämistä ei oltu rajoitettu millään tavalla, mikä on mahdollistanut murtautumisen automatisoidulla, tunnisteita arvaavalla skriptillä.

Logitech itse on kertonut Twitterissä julkaisseensa korjaavan päivityksen, mutta alkuperäiseen ketjuun ongelmasta on tullut toisenlainenkin raportti. ”Olen testannut tätä ennen ja jälkeen 7.0.564-versioon päivittämisen, ja voin yhä toistaa ongelman. Näyttää siltä, ettei Logitech ole vielä korjannut ongelmaa.”

Hi, the release of Logitech Options 7.00, which addresses Origin checks and type checking, is now live and can be downloaded for Windows and Mac.

— Logitech (@Logitech) December 13, 2018

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla