Logitech Options Software mit einer Sicherheitslücke [Update neue Version 7.00.564]

{Update 13.12.] Nachdem die Meldung die Runde machte, hat Logitech ein Update mit der Versionsnummer 7.00.564 herausgegeben. Ob die 150 MB den beschriebenen Fehler behoben haben, lässt sich im Moment nicht sagen. Aber Updaten sollte Pflicht sein.

[Original 12.12.Die Software für die Mäuse und Tastaturen von Logitech „Logitech Options“ hat eine Sicherheitslücke intus, die bisher noch nicht behoben wurde. Schon im September (12.09.) hatte Tavis Ormandy, bekannt durch das Googles Project Zero eine Lücke gefunden, wodurch die Software einen lokalen Websockets-Port öffnen kann ohne dass eine Authentifizierung stattfindet Befehle entgegennehmen kann.

Über den Port 10134 kann somit jede Webseite mit dem Dienst kommunizieren und JSON-codierte Befehle senden. Dort werden zwar Prozess-IDs benötigt, die aber sehr kurz sind und schnell „geknackt“ werden können. Am 18.September hat er sich dann mit den Entwicklern von Logitech in Verbindung setzen können.

Am 1.Oktober kam dann eine neue Version, die aktuelle 6.94.17. Aber auch die hat immer noch die gleiche Anfälligkeit. Obwohl die Entwickler den Fehler verstanden hatten und das Problem durch „Origin-Checks“ beheben wollte. Tavis Ormandy selber rät deshalb die Software solange zu deinstallieren, bis eine neue Version erscheint.

Wer mehr darüber wissen möchte:

• bugs.chromium.org/id=1663
• support.logitech.com/options