Unsicheres Konfigurationsprogramm
13.12.2018, 14:38 Uhr

Schwere Sicherheitslücke in Logitech-Software gefunden

In der Konfigurationssoftware «Logitech Options» hat ein Sicherheitsforscher von Google eine schwere Sicherheitslücke entdeckt. Das Programm öffnet bei Systemen anscheinend die Schleusen für bösartigen Code. Ein Sicherheitsupdate ist unterdessen verfügbar und sollte dringend installiert werden.
Der Google-Sicherheitsforscher Tavis Ormandy hat in der Software «Logitech Options» eine schwere Sicherheitslücke gefunden. Anscheinend öffnet das Programm einen lokalen Port, der ohne Authentifizierung Befehle entgegennimmt. Damit sei es potenziell möglich, Tastatureingaben zu simulieren und Code auf dem System auszuführen, wie das Techportal «Golem» berichtet. Mit «Logitech Options» lassen sich die Mäuse, Tastaturen und Touchpads des Herstellers konfigurieren – damit können beispielsweise die Buttons einer Computermaus neu zugewiesen werden. Die Software wird von Windows bei jedem Systemstart aufgerufen.
Gemäss dem Bericht zeigte sich bei der Untersuchung von Ormandy, dass auf dem Port anschliessend ein Websockets-Service läuft, mit dem Webseiten kommunizieren können. An diesen liessen sich JSON-codierte Befehle senden, deren Korrektheit jedoch nicht überprüft werde. Würden Daten eines unerwarteten Typs gesendet, sei es deshalb sehr leicht möglich, den Service abstürzen zu lassen. Wie «Golem» weiter schreibt, gibt es allerdings noch ein viel grösseres Problem. Offenbar ist es sogar möglich, dass beliebige Webseiten Befehle an den Port schicken können. Dafür müsse man lediglich die Prozess-ID des Service kennen – wobei diese nur wenige Stellen lang sei und sich durch einfaches Ausprobieren herausfinden lasse.
Der Sicherheitsforscher von Googles Security-Taskforce Project Zero habe sich bereits mit Logitech-Entwicklern getroffen und ihnen das Problem geschildert, heisst es weiter. Ihm sei versichert worden, man habe das Problem verstanden und werde sich darum kümmern. Laut Angaben Ormandys wies die nachfolgende Version der Software allerdings dieselben Schwachstellen auf. Logitech äusserte sich gemäss «Golem» noch nicht zur Angelegenheit.
Update, 14.12.18: Logitech hat Computerworld in der Zwischenzeit wissen lassen, dass mit Logitech Options 7.00 für Windows und macOS eine neue Version der Software bereitsteht. Mit einem Sicherheitsupdate adressiert der Hersteller dabei die «Origin Checks» und das «Type Checking». Logitech nehme das Thema Sicherheit sehr ernst und empfehle deshalb allen Kunden, ihre Software auf dem neuesten Stand zu halten und die neue Version von Logitech Options herunterzuladen.



Das könnte Sie auch interessieren