2018年12月18日 星期二

羅技Options被曝漏洞可招致按鍵注入攻擊,官方發新版軟件修復

Logitech Options是羅技官方推出的一款軟件,用戶可以使用它對羅技鼠標、鍵盤和触摸板進行自定義。

今年9月,谷歌Project Zero的安全研究員Tavis Ormandy發現了這款軟件上的一個漏洞,可以招致按鍵注入攻擊。通過此漏洞,應用程序可以打開一個WebSocket服務器。通過這一方式,外部來源可以用最小限度的身份驗證,從任意網站訪問應用程序。

攻擊者可以通過流氓網站向Options應用程序發送一系列命令,更改用戶的設置。此外,還可以通過更改一些簡單的配置設置,來發送任意擊鍵命令,從而獲得訪問所有信息的方式,甚至接管目標設備。也就是說,只要用戶的電腦處於打開狀態,同時這一應用保持在後台運行,理論上攻擊者幾乎能發起連續訪問。

由於羅技沒有照慣例在三個月內對此漏洞進行修復,谷歌Project Zero團隊在12月11日公開披露了此漏洞。兩天后,羅技官方在一則推文中對此事進行了回复,表示新發布的7.00版軟件已經對相關漏洞進行了修復。

轉自:

www.ithome.com/0/400/704.htm

2018年12月18日 星期二