Abo
  • IT-Karriere:

Logitech Options: Logitech-Software ermöglicht Ausführung von schädlichem Code

In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.

Artikel veröffentlicht am , Hanno Böck
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren.
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren. (Bild: Wikimedia Commons / YannikUllersperger/CC0 1.0)

Tavis Ormandy von Googles Project Zero hat in Logitech Options eine schwere Sicherheitslücke entdeckt. Die Software öffnet einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt. Damit kann man beispielsweise Tastatureingaben simulieren und somit potentiell Code auf dem System ausführen.

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. Radeberger Gruppe KG, Frankfurt am Main

Ormandy hatte sich die Software installiert, da er die Buttons seiner Maus unter Windows konfigurieren wollte. Dafür musste er die knapp 150 Megabyte große Software Logitech Options installieren. Nach der Installation wird die Software automatisch bei jedem Systemstart von Windows aufgerufen.

Software stürzt bei falschen Daten ab

Auf dem lokalen TCP-Port 10134 läuft anschließend ein Websockets-Service. Webseiten können mit diesem Service kommunizieren. Laut Ormandy lassen sich an den Service JSON-codierte Befehle schicken, deren Korrektheit wird aber nicht geprüft. Somit ist es sehr leicht möglich, den Service abstürzen zu lassen, indem man Daten mit unerwarteten Datentypen hinschickt.

Doch Ormandy fand ein noch viel größeres Problem: Der Service akzeptiert Befehle von beliebigen Webseiten. Er prüft die Herkunft der gesendeten Befehle, die sogenannte Origin, nicht. Das bedeutet, dass jede beliebige Webseite Befehle an den Websockets-Port schicken kann.

Damit die Befehle akzeptiert werden, müssen diese zwar die Prozess-ID des jeweiligen Services kennen. Doch diese ID ist nur wenige Stellen lang und lässt sich daher sehr schnell durch simples Ausprobieren herausfinden.

Auch neue Version betroffen

Ormandy schreibt, dass er sich im September mit Logitech-Entwicklern getroffen hat, um ihnen das Problem zu erläutern. Sie hätten ihm versichert, dass sie das Problem verstanden hätten und dass sie eine Prüfung der Origin und der korrekten Datentypen einbauen wollen. Doch laut Ormandy hat auch die jüngste Version von Logitech Options, die am 1. Oktober veröffentlicht wurde, dieselben Probleme.

Wir haben Logitech um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten. Anwendern von Logitech-Produkten sollten die Options-Software vorerst umgehend deinstallieren, da sie ansonsten einem hohen Risiko ausgesetzt sind.

Nachtrag vom 14. Dezember 2018, 10:54 Uhr

Logitech bietet auf seiner Webseite inzwischen ein Update an. Laut dem Twitteraccount der Firma sind die Sicherheitslücken behoben, auf der Webseite steht dazu jedoch nichts.



Anzeige
Top-Angebote
  1. 219,99€
  2. 279€ (Bestpreis!)
  3. 279€ + Versand oder kostenlose Marktabholung (Bestpreis!)
  4. Aktionsprodukt ab 399€ kaufen und Coupon erhalten

Huanglong 17. Dez 2018

Also auf der entsprechenden Logitech Seite https://support.logitech.com/en_us/software...

alcon 16. Dez 2018

Bei der MX-Master 2S hast Du zusaetzlich noch die Features, dass Du Daten zwischen...

alcon 16. Dez 2018

Die Software wird benoetigt um Daten zwischen mehreren Rechnern auszutauschen. Ich...

ruokanga 14. Dez 2018

Könntet Ihr bitte mal nachforschen, was Logitech bezüglich der Gaming Software da macht...

Argh 14. Dez 2018

Woher nimmst Du dieses Wissen? MacOS ist per se erstmal genauso gefährdet.


Folgen Sie uns
       


Wasserstoff-Mercedes GLC F-Cell im Test

Der Mercedes GLC F-Cell ist eines der wenigen Serienfahrzeuge mit Brennstoffzellenantrieb. Wir haben das Auto getestet.

Wasserstoff-Mercedes GLC F-Cell im Test Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


      •  /