您的位置: 首页 >要闻 >

罗技应用存在安全漏洞 可进行击键注入攻击

2019-11-18 20:02:33 编辑: 来源:
导读 在忽略了Google的ProjectZero安全小组的一个bug报告之后,Logitech在等待了三个月之后,终于发布了其一个应用程序的安全补丁。 该公司的Options应用程序发现了该漏洞,该应用程序允许用户定制鼠标、键盘和履带上按钮的功能和行为。 谷歌安全研究人员塔维斯·奥尔曼迪(TavisOrmandy)在9月份第一次发现该应用程序是在用户机器上打开WebSocket服务器的。 该服务器

在忽略了Google的ProjectZero安全小组的一个bug报告之后,Logitech在等待了三个月之后,终于发布了其一个应用程序的安全补丁。

该公司的Options应用程序发现了该漏洞,该应用程序允许用户定制鼠标、键盘和履带上按钮的功能和行为。

谷歌安全研究人员塔维斯·奥尔曼迪(TavisOrmandy)在9月份第一次发现该应用程序是在用户机器上打开WebSocket服务器的。

该服务器提供了对多个侵入性命令的支持,并在每次系统启动时使用一个注册表项自动启动。

Ormandy提供了关于他在Logitech软件中发现的bug如何在bug报告中用于控制用户系统的更多细节,他说:

“唯一的身份验证是,您必须提供用户拥有的进程的PID(进程ID),但您可以得到无限的猜测,这样您就可以在微秒内强制它。在此之后,您可以发送命令和选项,配置皇冠以发送任意击键等”。

Ormandy在9月份向Logitech报告了这个问题,尽管团队承认了这个错误报告,但它从未发布一个补丁来纠正这个问题。

如果一家公司在90天后还没有发布安全问题补丁,ProjectZero的政策是公开披露Ormandy本周所做的漏洞。

这份bug报告在Twitter上引起了安全研究人员的关注,罗技公司发布了新版本的选项来解决这一问题。



标签:
免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章

精彩推荐

图文推荐

点击排行

2016-2022 All Rights Reserved.平安财经网.复制必究 联系QQ   备案号:

本站除标明“本站原创”外所有信息均转载自互联网 版权归原作者所有。

邮箱:toplearningteam#gmail.com (请将#换成@)