close
IT之家12月16日消息Logitech Options是羅技官方推出的一款軟件,用戶可以使用它對羅技鼠標、鍵盤和触摸板進行自定義。據Threat Post報導,今年9月,谷歌Project Zero的安全研究員Tavis Ormandy發現了這款軟件上的一個漏洞,可以招致按鍵注入攻擊。
由於羅技沒有照慣例在三個月內對此漏洞進行修復,谷歌Project Zero團隊在12月11日公開披露了此漏洞。兩天后,羅技官方在一則推文中對此事進行了回复,表示新發布的7.00版軟件已經對相關漏洞進行了修復。
Tavis Ormandy表示,通過此漏洞,應用程序可以打開一個WebSocket服務器;通過這一方式,外部來源可以用最小限度的身份驗證,從任意網站訪問應用程序。
據報導,攻擊者可以通過流氓網站向Options應用程序發送一系列命令,更改用戶的設置。此外,攻擊者還可以通過更改一些簡單的配置設置,來發送任意擊鍵命令,從而獲得訪問所有信息的方式,甚至接管目標設備。
進一步來說,只要用戶的電腦處於打開狀態,同時這一應用保持在後台運行,理論上攻擊者幾乎能發起連續訪問。
Tavis Ormandy表示,9月18日與羅技工程師會面時,對方曾向他表示會修復此問題;但他發現,羅技10月1日發布的新版本實際沒有解決問題。隨著截止日期的來到,Tavis Ormandy決定將漏洞公開。
Logitech Options 7.00.564 Windows版下載【點我下載】
謝謝收看
文章標籤
全站熱搜
留言列表