Gaming-Mice
Ang Opsyon ng Logitech ay isang app na kumokontrol sa lahat ng mga daga at keyboard ng Logitech. Nag-aalok ito ng maraming iba't ibang mga pagsasaayos tulad ng Pagbabago ng mga key key shortcut, Pagpapasadya ng mga pindutan ng mouse, Pag-aayos ng point at pag-uugali ng pag-scroll at iba pa. Naglalaman ang app na ito ng isang malaking kapintasan sa seguridad na natuklasan ng Tavis Ormandy na isang mananaliksik sa seguridad ng Google. Napag-alaman na ang Mga Pagpipilian sa Logitech ay nagbubukas ng isang WebSocket server sa bawat indibidwal na computer Ang Pagpipilian sa Logitech ay pinatakbo. Ang WebSocket server na ito ay magbubukas sa port 10134 kung saan maaaring kumonekta ang anumang website at magpadala ng maraming iba't ibang mga utos na naka-encode sa JSON.
Paggamit ng PID
Sa pamamagitan nito ang sinumang mang-atake ay maaaring makapasok at magpatakbo ng mga utos sa pamamagitan lamang ng pagse-set up ng isang web page. Kailangan lamang ng umaatake sa Process Identifier (PID). Gayunpaman ang PID ay maaaring hulaan dahil ang software ay walang limitasyon sa dami ng isinagawa na pagsubok.
Kapag nakuha ng magsasalakay ang PID at nasa, dahil dito maaari niya nang ganap na makontrol ang Computer at patakbuhin ito mula sa malayo. Maaari din itong magamit para sa keystroke injection o pag-atake ng Rubber Ducky na ginamit upang sakupin ang mga PC sa nakaraan.
Matapos makuha ng Ormandy ang mga inhinyero ng Logitech, iniulat niya nang pribado ang kahinaan sa kanila sa isang pagpupulong sa pagitan ng koponan ng engineering ng Logitech at Ormandy noong ika-18 ng Setyembre. Matapos maghintay ng kabuuang 90 araw, nakita ni Ormandy ang kabiguan ng kumpanya na harapin ang isyu sa publiko o sa pamamagitan ng isang patch para sa app, Kaya't si Ormandy mismo ang nag-post ng kanyang natagpuan noong ika-11 ng Disyembre na isinapubliko ang isyu.
Tulad ng nakuha ng pansin ng kuwento Alinsunod dito ay tumugon si Logitech na may isang pag-update para sa Mga Pagpipilian sa Logitech. Inilabas ng Logitech ang bersyon ng Opsyon na 7.00.564 noong ika-13 ng Disyembre. Inaangkin nila na naayos ang pinagmulan at nag-type ng mga pag-check ng mga bug kasama ang isang patch para sa kahinaan sa seguridad. Gayunpaman hindi nila nabanggit ang Security Vulnerability patch sa kanilang sariling website. Sinabi nila sa magasing Aleman na heise.de na ang bagong bersyon ay talagang nag-aayos ng kahinaan
Si Travis Ormandy at ang kanyang koponan ay kasalukuyang sumusuri sa bagong bersyon ng Mga Pagpipilian sa Logitech para sa anumang mga palatandaan ng Mga Kahinaan sa Seguridad. Ang bawat isa na may lumang bersyon ng Mga Pagpipilian sa Logitech ay pinapayuhan na mag-upgrade sa bagong 7.00.564.
Mga tag Seguridad Windows
