Logitech Options -ohjelmasta löytyi vakava haavoittuvuus, päivitys saatavilla

[Kaotik]

Logitechin Options-ohjelmasta on löytynyt vakava haavoittuvuus. Logitech Options on yhtiön hiirten, näppäimistöjen ja touchpadien hallintaan tarkoitettu ohjelma.

Googlen Project Zeron tutkija Tavis Ormandy on löytänyt Logitech Options -sovelluksesta vakavan haavoittuvuuden. Ormandyn mukaan ohjelma käynnistyy automaattisesti Windowsin mukana ja avaa lupia kysymättä WebSocket-portin, mikä on minkä tahansa verkkosivun hyödynnettävissä. Logitech ei ollut asettanut minkäänlaisia rajoituksia tai tarkistuksia portin läpi tulevalle liikenteelle, minkä myötä verkkosivu voi esimerkiksi lähettää simuloituja näppäinkomentoja omine lupineen.

Logitech on reagoinut haavoittuvuuden paljastumiseen välittömästi ja julkaissut Logitech Options -ohjelmasta päivityn version, jossa haavoittuvuus on paikattu. io-tech suosittelee kaikkia ohjelmaa käyttäviä päivittämään ohjelman viivyttelemättä. Päivitetty versio on ladattavissa Logitechin verkkosivuilta.

Lähteet: Myce, Project Zero, TechPowerUp

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[Vaateripustin]

Ehkä vähän tyhmä kysymys mutta koskeeko Logitech Gaming Softwarea kun kuitenkin käytännössä samaa asiaa toimittavat ::tthink:

 

[Juha Kokkonen]

Ehkä vähän tyhmä kysymys mutta koskeeko Logitech Gaming Softwarea kun kuitenkin käytännössä samaa asiaa toimittavat ::tthink:

Eri softat, joten ei käsittääkseni pitäisi koskea Gaming Softwarea, tai ei niin ole ainakaan missään todettu.

 

[tomih]

Piti ihan varmistaa löytyykö tuollaista, kun kymppi tuntuu välillä puskevan oma-alotteisesti kaikkee sontaa koneelle, jos esim. käyttää logitechin hiirtä, mutta ei ollut.

 

[hupiukko]

On muuten täysin paska ja keskeneräinen softa tuo. Väkisin tungetaan kurkusta alas, esim M705 v1 toimii setpointin kanssa, mutta saman hiiren v2 ei toimi enää. 99% sama hiiri.

 

[ANTI_L]

On muuten täysin paska ja keskeneräinen softa tuo. Väkisin tungetaan kurkusta alas, esim M705 v1 toimii setpointin kanssa, mutta saman hiiren v2 ei toimi enää. 99% sama hiiri.

Nuo Logitechin softatuotteet on vähän tuollaisia, itselläkin ollut jossain välissä unifying softa, mutta onneksi ei enää ole, oli kyllä oksettavan huonosti tehty tunkki.

 

[Masturbo]

Kiitos uutisesta, tuli aamusta vähän päiviteltävää. Komppaan @hupiukko siinä, että SetPoint oli ylivoimaisesti parempi ohjelmisto.

 

[Inehmo|]

On muuten täysin paska ja keskeneräinen softa tuo. Väkisin tungetaan kurkusta alas, esim M705 v1 toimii setpointin kanssa, mutta saman hiiren v2 ei toimi enää. 99% sama hiiri.

On onneksi työkoneessa näköjään V1, koska SetPoint käytössä. Taisin itse asiassa aikoinaan ostaessa ihmetellä, että miten on kaksi ihan samanlaista hiirtä myynnissä eri hinnoilla ja otin sitten näköjään vanhemman (halvemman) mallin.

Harmi, että ensimmäinen K400 meni rikki ja joutui ostamaan uuden ja uuden kanssa pitää käyttää tuota Optionsia. Täytyy muistaa päivittää molempiin koneisiin tuo softa, kunhan pääsee kotiin.

 

[Ramdom]

Onko ohjelman pitänyt olla päällä vai pelkästään asennettuna että haavoittovuus toimisi?

 

[Kaotik]

Onko ohjelman pitänyt olla päällä vai pelkästään asennettuna että haavoittovuus toimisi?

Päällä, mutta jollei sitä erikseen ole estänyt (saako edes estettyä suoraan esim ohjelmasta käsin?) niin tuo asettaa itsensä (ja apuprosessinsa) starttaamaan automaattisesti koneen mukana

 

[Marti77]

Logitechin softat on aina olleet rupisia. Logitech Gaming Software pakko tyrkyttää suomenkieltä vaikka käyttöjärjestelmän kieli on englanti ja jopa location on määritetty britteihin. Miks hitos se ei tarjoa sitä kieltä mitä käyttäjä käyttää vaan sen pitää tarkistaa se asetus tuolta formaatti kohdasta millä ei ole mitään tekemistä kielen kanssa.

Se on nykypäivän laite kirous kun ostaa jonkin laitteen koneseen se vaatii aina ohjelman asentamista + kaikki tyrkyttävät muut bloathware ohjelmat ja yhden kerran säädöt kohdalle ja sit sen voi jo melkein unohtaa koko ohjelman.

 

[Villae]

Tästä Logitech Options:sta on eilen näköjään julkaistu vielä uusi versio 7.10.3, jossa on paranneltu korjauksia: "Further security improvements to origin checks", kun tuo 7.00.564 ei ilmeisesti korjannut kaikkea.

https://support.logitech.com/en_us/software/options

 

[Villae]

Tulee siitä päivityksestä notifikaatio, jota klikkaamalla voi päivittää, mutta suomenkielisessä versiossa kääntäjä kämmännyt otsikon, äkkiseltään löytyi Twitteristä tuollainen kuva tuosta ilmoituksesta: