News 14.12.2018, 11:19 Uhr

«Logitech Options» 7.0 schliesst schwere Sicherheitslücke

In der Konfigurationssoftware hatte ein Sicherheitsforscher von Google eine schwere Sicherheitslücke entdeckt. Wir empfehlen, die Software zu aktualisieren.
Update 14.12.18: Logitech hat PCtipp in der Zwischenzeit wissen lassen, dass mit «Logitech Options» 7.0 für Windows und macOS eine neue Version der Software bereitsteht. Mit einem Sicherheitsupdate adressiert der Hersteller dabei die «Origin Checks» und das «Type Checking». Logitech nehme das Thema Sicherheit sehr ernst und empfehle deshalb allen Kunden, ihre Software auf dem neuesten Stand zu halten und die neue Version von Logitech Options herunterzuladen. 
Der Google-Sicherheitsforscher Tavis Ormandy hat in der Software «Logitech Options» eine schwere Sicherheitslücke gefunden. Anscheinend öffnet das Programm einen lokalen Port, der ohne Authentifizierung Befehle entgegennimmt. Damit sei es potenziell möglich, Tastatureingaben zu simulieren und Code auf dem System auszuführen, wie das Techportal «Golem» berichtet. Mit «Logitech Options» lassen sich die Mäuse, Tastaturen und Touchpads des Herstellers konfigurieren – damit können beispielsweise die Buttons einer Computermaus neu zugewiesen werden. Die Software wird von Windows bei jedem Systemstart aufgerufen.
Gemäss dem Bericht zeigte sich bei der Untersuchung von Ormandy, dass auf dem Port anschliessend ein Websockets-Service läuft, mit dem Webseiten kommunizieren können. An diesen liessen sich JSON-codierte Befehle senden, deren Korrektheit jedoch nicht überprüft werde. Würden Daten eines unerwarteten Typs gesendet, sei es deshalb sehr leicht möglich, den Service abstürzen zu lassen. Wie «Golem» weiter schreibt, gibt es allerdings noch ein viel grösseres Problem. Offenbar ist es sogar möglich, dass beliebige Webseiten Befehle an den Port schicken können. Dafür müsse man lediglich die Prozess-ID des Service kennen – wobei diese nur wenige Stellen lang sei und sich durch einfaches Ausprobieren herausfinden lasse.
Der Sicherheitsforscher von Googles Security-Taskforce Project Zero habe sich bereits mit Logitech-Entwicklern getroffen und ihnen das Problem geschildert, heisst es weiter. Ihm sei versichert worden, man habe das Problem verstanden und werde sich darum kümmern. Laut Angaben Ormandys weist die jüngste Version der Software allerdings dieselben Schwachstellen auf. Logitech äusserte sich gemäss «Golem» noch nicht zur Angelegenheit. Die Kollegen des Techportals empfehlen Nutzerinnen und Nutzern aber, «Logitech Options» aufgrund des hohen Risikos vorübergehend zu deinstallieren.



Kommentare
Avatar
dch36
13.12.2018
OPTIONS: Unnötige Bloatware, welche erst noch sehr gefährliche Löcher hat - weg damit Zuerst: NEIN. OPTIONS ist ein eigenes Pgm, welcher mit neuer HW kommt. Setpoint kannst Du behalten ;-) Logitech Setpoint ist der Vorgänger von Logitech OPTIONS. Mir war Setpoint oft schon zu störend und fehleranfällig. Heute ists besser und ich lass es auf dem Rechner ;-) Aber schon Setpoint war eine recht unnütze SW. Habe mir kürzlich einen Logitech MX Ergo gekauft - und diese neue HW verlangt automatisch beim Install die Installation von Logitech OPTIONS. Ein Setup-Pgm von ca 22MP (vs ca 6MB bei Setpoint). Options wird also bei der Installation einer neuen Maus direkt aus dem Internet geladen und installiert. Logitech OPTIONS ist ein Dinosaurier, welcher primär dafür sorgen soll, dass Logitech FLOW funktioniert, sprich Du kannst mit einer Maus bis zu 3 Bildschirmen bedienen. Und wenn die Tastatur das auch kann ist es vielleicht lustig. Ich habe das ganze OPTIONS-Zeug damals umgehend wieder vom PC entfernt - gegen 30MB für einen Maustreiber finde ich daneben. Nutze weiterhin Setpoint, mir reicht das. Mehr Details und den Download für Options hier: https://www.logitech.com/de-ch/product/options

Avatar
wändi
14.12.2018
Danke, dch6, für die ausführliche Info. Gruss waendi