罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复

来源：九悦网新闻作者：news.jyuew.com 发布时间：2018-12-17 13:37:08

Logitech Options是罗技官方推出的一款软件，用户可以使用它对罗技鼠标、键盘和触摸板进行自定义。据Threat Post报道，今年9月，谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞，可以招致按键注入攻击。

由于罗技没有照惯例在三个月内对此漏洞进行修复，谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后，罗技官方在一则推文中对此事进行了回复，表示新发布的7.00版软件已经对相关漏洞进行了修复。

罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复

Tavis Ormandy表示，通过此漏洞，应用程序可以打开一个WebSocket服务器；通过这一方式，外部来源可以用最小限度的身份验证，从任意网站访问应用程序。

据报道，攻击者可以通过流氓网站向Options应用程序发送一系列命令，更改用户的设置。此外，攻击者还可以通过更改一些简单的配置设置，来发送任意击键命令，从而获得访问所有信息的方式，甚至接管目标设备。

进一步来说，只要用户的电脑处于打开状态，同时这一应用保持在后台运行，理论上攻击者几乎能发起连续访问。

Tavis Ormandy表示，9月18日与罗技工程师会面时，对方曾向他表示会修复此问题；但他发现，罗技10月1日发布的新版本实际没有解决问题。随着截止日期的来到，Tavis Ormandy决定将漏洞公开。

[返回上一页] [打印]

其他资讯