News
14.12.2018, 11:19 Uhr
«Logitech Options» 7.0 schliesst schwere Sicherheitslücke
In der Konfigurationssoftware hatte ein Sicherheitsforscher von Google eine schwere Sicherheitslücke entdeckt. Wir empfehlen, die Software zu aktualisieren.
Update 14.12.18: Logitech hat PCtipp in der Zwischenzeit wissen lassen, dass mit «Logitech Options» 7.0 für Windows und macOS eine neue Version der Software bereitsteht. Mit einem Sicherheitsupdate adressiert der Hersteller dabei die «Origin Checks» und das «Type Checking». Logitech nehme das Thema Sicherheit sehr ernst und empfehle deshalb allen Kunden, ihre Software auf dem neuesten Stand zu halten und die neue Version von Logitech Options herunterzuladen.
Der Google-Sicherheitsforscher Tavis Ormandy hat in der Software «Logitech Options» eine schwere Sicherheitslücke gefunden. Anscheinend öffnet das Programm einen lokalen Port, der ohne Authentifizierung Befehle entgegennimmt. Damit sei es potenziell möglich, Tastatureingaben zu simulieren und Code auf dem System auszuführen, wie das Techportal «Golem» berichtet. Mit «Logitech Options» lassen sich die Mäuse, Tastaturen und Touchpads des Herstellers konfigurieren – damit können beispielsweise die Buttons einer Computermaus neu zugewiesen werden. Die Software wird von Windows bei jedem Systemstart aufgerufen.
Gemäss dem Bericht zeigte sich bei der Untersuchung von Ormandy, dass auf dem Port anschliessend ein Websockets-Service läuft, mit dem Webseiten kommunizieren können. An diesen liessen sich JSON-codierte Befehle senden, deren Korrektheit jedoch nicht überprüft werde. Würden Daten eines unerwarteten Typs gesendet, sei es deshalb sehr leicht möglich, den Service abstürzen zu lassen. Wie «Golem» weiter schreibt, gibt es allerdings noch ein viel grösseres Problem. Offenbar ist es sogar möglich, dass beliebige Webseiten Befehle an den Port schicken können. Dafür müsse man lediglich die Prozess-ID des Service kennen – wobei diese nur wenige Stellen lang sei und sich durch einfaches Ausprobieren herausfinden lasse.
Der Sicherheitsforscher von Googles Security-Taskforce Project Zero habe sich bereits mit Logitech-Entwicklern getroffen und ihnen das Problem geschildert, heisst es weiter. Ihm sei versichert worden, man habe das Problem verstanden und werde sich darum kümmern. Laut Angaben Ormandys weist die jüngste Version der Software allerdings dieselben Schwachstellen auf. Logitech äusserte sich gemäss «Golem» noch nicht zur Angelegenheit. Die Kollegen des Techportals empfehlen Nutzerinnen und Nutzern aber, «Logitech Options» aufgrund des hohen Risikos vorübergehend zu deinstallieren.
13.12.2018
14.12.2018