«Logitech Options» 7.0 schliesst schwere Sicherheitslücke

In der Konfigurationssoftware hatte ein Sicherheitsforscher von Google eine schwere Sicherheitslücke entdeckt. Wir empfehlen, die Software zu aktualisieren.

von Luca Perler 13.12.2018 (Letztes Update: 14.12.2018)

Update 14.12.18: Logitech hat PCtipp in der Zwischenzeit wissen lassen, dass mit «Logitech Options» 7.0 für Windows und macOS eine neue Version der Software bereitsteht. Mit einem Sicherheitsupdate adressiert der Hersteller dabei die «Origin Checks» und das «Type Checking». Logitech nehme das Thema Sicherheit sehr ernst und empfehle deshalb allen Kunden, ihre Software auf dem neuesten Stand zu halten und die neue Version von Logitech Options herunterzuladen. 

Der Google-Sicherheitsforscher Tavis Ormandy hat in der Software «Logitech Options» eine schwere Sicherheitslücke gefunden. Anscheinend öffnet das Programm einen lokalen Port, der ohne Authentifizierung Befehle entgegennimmt. Damit sei es potenziell möglich, Tastatureingaben zu simulieren und Code auf dem System auszuführen, wie das Techportal «Golem» berichtet. Mit «Logitech Options» lassen sich die Mäuse, Tastaturen und Touchpads des Herstellers konfigurieren – damit können beispielsweise die Buttons einer Computermaus neu zugewiesen werden. Die Software wird von Windows bei jedem Systemstart aufgerufen.

Gemäss dem Bericht zeigte sich bei der Untersuchung von Ormandy, dass auf dem Port anschliessend ein Websockets-Service läuft, mit dem Webseiten kommunizieren können. An diesen liessen sich JSON-codierte Befehle senden, deren Korrektheit jedoch nicht überprüft werde. Würden Daten eines unerwarteten Typs gesendet, sei es deshalb sehr leicht möglich, den Service abstürzen zu lassen. Wie «Golem» weiter schreibt, gibt es allerdings noch ein viel grösseres Problem. Offenbar ist es sogar möglich, dass beliebige Webseiten Befehle an den Port schicken können. Dafür müsse man lediglich die Prozess-ID des Service kennen – wobei diese nur wenige Stellen lang sei und sich durch einfaches Ausprobieren herausfinden lasse.

Der Sicherheitsforscher von Googles Security-Taskforce Project Zero habe sich bereits mit Logitech-Entwicklern getroffen und ihnen das Problem geschildert, heisst es weiter. Ihm sei versichert worden, man habe das Problem verstanden und werde sich darum kümmern. Laut Angaben Ormandys weist die jüngste Version der Software allerdings dieselben Schwachstellen auf. Logitech äusserte sich gemäss «Golem» noch nicht zur Angelegenheit. Die Kollegen des Techportals empfehlen Nutzerinnen und Nutzern aber, «Logitech Options» aufgrund des hohen Risikos vorübergehend zu deinstallieren.


    Kommentare

    • wändi 13.12.2018, 17.19 Uhr

      Danke für den Hinweis. Aber WO sind die "Logitech Options" aufzufinden?? Ich habe bei mir nur das "Logitech SetPoint" Programm. Ist mit der Empfehlung zur Deinstallation der "Options" jenes Programm gemeint??

    • dch36 13.12.2018, 19.13 Uhr

      Zuerst: NEIN. OPTIONS ist ein eigenes Pgm, welcher mit neuer HW kommt. Setpoint kannst Du behalten ;-) Logitech Setpoint ist der Vorgänger von Logitech OPTIONS. Mir war Setpoint oft schon zu störend und fehleranfällig. Heute ists besser und ich lass es auf dem Rechner ;-) Aber schon Setpoint war eine recht unnütze SW. Habe mir kürzlich einen Logitech MX Ergo gekauft - und diese neue HW verlangt automatisch beim Install die Installation von Logitech OPTIONS. Ein Setup-Pgm von ca 22MP (vs ca[...]

    • wändi 14.12.2018, 15.35 Uhr

      Danke, dch6, für die ausführliche Info. Gruss waendi

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.