Nul
Logitech har udgivet en sikkerhedsopdatering til en af sine apps, efter at det tidligere har ignoreret en bug report fra Google Project Zero security team for tre måneder.
Den sårbarhed, som blev fundet i versioner af Muligheder, et Logitech-app, der giver brugerne mulighed for at tilpasse knapper og adfærd i deres mus, tastaturer, og touchpads.
Tilbage i September, Google sikkerhedsekspert Tavis Ormandy opdagede, at app ‘ en var ved at åbne en WebSocket server på brugernes computere.
Problemet var, at denne server fremhævede støtte til en flok af påtrængende kommandoer, der anvendes en nøgle i registreringsdatabasen for at starte automatisk på hvert system opstart, og kom med en overfladisk authentication system.
“Den eneste” authentication ” er, at du er nødt til at give en PID [proces-ID] af en proces, der ejes af din bruger,” sagde Ormandy i en fejlrapport, “men du får ubegrænset gæt, så du kan bruteforce det i mikrosekunder.”
“Efter dette, kan du sende kommandoer og indstillinger, konfigurere “kronen” for at sende vilkårlige tastetryk, osv., osv.,” den sagkyndige sagde, tyder på app ‘en kunne være et perfekt angreb overflade for både lokale og eksterne tastetryk injektion (Gummi Ducky) angreb, der historisk set har været brugt til at overtage Pc’ er.
Ormandy rapporterede problem, at Logitech i midten af September. Men mens Logitech team erkendte fejlen rapport, selskabet aldrig har sendt en patch.
“Jeg […] havde et møde med Logitechs ingeniører, den 18. September, de forsikrede mig, at de har forstået spørgsmålene, og havde planer om at tilføje Oprindelse kontrol og type kontrol,” Ormandy sagde. “Der var en ny udgave, oktober 1st, men så vidt jeg kan fortælle, at de ikke kan løse nogen af de problemer.”
Du ser, at efter 90 dage, virksomheden har undladt at løse privat rapporterede problem, Ormandy afsløret sine resultater på tirsdag i denne uge.
Efter fejlrapport fik nogle trækkraft og opmærksomhed blandt sikkerhedseksperter på Twitter i går aftes, Logitech skyndte sig at lappe og slip Valg 7.00.564 til at afhjælpe de rapporterede problemer.
Mere sikkerhed dækning:
Skibe, der er inficeret med ransomware, USB-malware, wormsWordPress stik fejl, der førte til, at Google indeksering nogle bruger passwordsShamoon malware ødelægger data på italiensk olie og gas companyGoogle+ ramt af andet API fejl, der påvirker 52.5 millioner usersHP tilbyder hackere $10.000 til at finde fejl i sin printere TechRepublicAfpresning e-mails, der transporterer bombe trusler forårsage panik over USThe rockstar hackere at beskytte dig fra det onde CNETWordPress stik fejl, der førte til, at Google indeksering nogle bruger adgangskoder
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre
0