Tuoreimpaan versioon päivittämättömissä Logitech Options -versioissa on avoin WebSocket-portti, jonka kautta mikä tahansa verkkosivu voi lähettää haluamiaan komentoja kohdetietokoneelle ilman tarkistuksia komentojen lähteestä tai laadusta.

Logitechin Options-ohjelmasta on löytynyt vakava haavoittuvuus. Logitech Options on yhtiön hiirten, näppäimistöjen ja touchpadien hallintaan tarkoitettu ohjelma.

Googlen Project Zeron tutkija Tavis Ormandy on löytänyt Logitech Options -sovelluksesta vakavan haavoittuvuuden. Ormandyn mukaan ohjelma käynnistyy automaattisesti Windowsin mukana ja avaa lupia kysymättä WebSocket-portin, mikä on minkä tahansa verkkosivun hyödynnettävissä. Logitech ei ollut asettanut minkäänlaisia rajoituksia tai tarkistuksia portin läpi tulevalle liikenteelle, minkä myötä verkkosivu voi esimerkiksi lähettää simuloituja näppäinkomentoja omine lupineen.

Logitech on reagoinut haavoittuvuuden paljastumiseen välittömästi ja julkaissut Logitech Options -ohjelmasta päivityn version, jossa haavoittuvuus on paikattu. io-tech suosittelee kaikkia ohjelmaa käyttäviä päivittämään ohjelman viivyttelemättä. Päivitetty versio on ladattavissa Logitechin verkkosivuilta.

Lähteet: Myce, Project Zero, TechPowerUp

This site uses XenWord.