您现在的位置是:网站首页> 内容页

罗技选项暴露的漏洞可触发按键注入攻击,正式发布新软件修复

  • 辉煌hui7788com
  • 2019-03-07
  • 484人已阅读
简介12月16日:LogitechOptions是Logitech推出的官方软件。用户可以使用它来定制罗技的鼠标、键盘和触摸板。据《威胁邮

    12月16日:Logitech Options是Logitech推出的官方软件。用户可以使用它来定制罗技的鼠标、键盘和触摸板。据《威胁邮报》报道,今年9月,Google Project Zero的安全研究员Tavis Ormandy在软件中发现了一个漏洞,该漏洞可能引发密钥注入攻击。由于Logitech在三个月内没有像往常一样修复漏洞,Google Project Zero团队于12月11日公开披露了该漏洞。两天后,罗技公司的官员在推特上回应说,新的7.00版本的软件已经修复。Tavis Ormandy说,通过该漏洞,应用程序可以打开WebSocket服务器;通过这种方式,外部源可以以最少的身份验证从任何网站访问应用程序。据报道,攻击者可以通过恶意网站向Options应用程序发送一系列命令来更改用户设置。此外,攻击者还可以通过改变一些简单的配置设置来发送任何击键命令,从而获得对所有信息的访问,甚至接管目标设备。此外,只要用户的计算机打开,应用程序在后台运行,从理论上讲,攻击者可以发起几乎连续的访问。Tavis Ormandy说,9月18日,当他与Logitech的工程师见面时,有人告诉他会解决问题,但是他发现10月1日发布的新版本并没有真正解决问题。随着最后期限的临近,Tavis Ormandy决定公开这些漏洞。罗技选项7.00下载地址:Windows版点击这里|Mac版点击这里|官方网站点击这里

文章评论

Top