Noll
Logitech har släppt en säkerhetsuppdatering för en av sina program efter att den tidigare ignorerat en felrapport från Google Project Zero security team för tre månader.
Sårbarhet fanns i versioner av Alternativ, en Logitech app som låter användare anpassa knappar och beteendet hos sina möss, tangentbord och pekplatta.
Tillbaka i September, Google säkerhet forskare Tavis Ormandy upptäckte att appen var att öppna en WebSocket-server på användarnas datorer.
Problemet var att den här servern innehöll stöd för ett gäng påträngande kommandon, som används för en registernyckel för att starta automatiskt på varje system start, och kom med en nonchalant autentisering.
“Den enda autentisering är att du måste ge en PID – [process-ID] är en process som ägs av användaren,” sade Ormandy i en felrapport, “men du får obegränsad gissningar så att du kan bruteforce det i mikrosekunder.”
“Efter det, kan du skicka kommandon och alternativ, konfigurera ‘kronan’ för att skicka godtyckliga nedslag, etc, etc.” experten säger, vilket tyder på app kan vara en perfekt attack yta för både lokala och fjärranslutna tangenttryckning injektion (Rubber Ducky) attacker som historiskt har använts för att ta över Datorer.
Ormandy rapporterade frågan till Logitech-i mitten av September. Men medan Logitech team erkänt felrapport företaget aldrig skickat en patch.
“Jag […] hade ett möte med Logitechs ingenjörer på 18: e September, de försäkrade mig att de inte förstod frågorna och planerar att lägga Ursprung kontroller och typ av kontroll,” Ormandy sagt. “Det var en ny utgåva den 1 oktober, men såvitt jag kan berätta att de inte lösa alla frågor.”
Ser att efter 90 dagar bolaget underlåtit att ta itu med privat rapporterade problemet, Ormandy visade sina fynd på tisdag denna vecka.
Efter felrapport fick några dragkraft och uppmärksamhet bland säkerhet forskare på Twitter i går kväll, Logitech rusade för att lappa och släpp Alternativ 7.00.564 att ta itu med de rapporterade problem.
Mer trygghet:
Fartyg infekterade med ransomware, USB-malware, wormsWordPress pluggar bugg som ledde till att Google att indexera vissa användare passwordsShamoon skadlig kod förstör data på italienska olja och gas companyGoogle+ träff med andra API bugg som påverkar 52,5 mkr usersHP erbjuder hackare och få $10,000 att hitta fel i sina skrivare TechRepublicUtpressning e-post redovisade bomb hot orsaka panik över USThe rockstar hackare att skydda dig från det onda CNETWordPress-pluggar bugg som ledde till att Google att indexera vissa användare lösenord
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0