Abo
  • Services:

Logitech Options: Logitech-Software ermöglicht Ausführung von schädlichem Code

In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.

Artikel veröffentlicht am , Hanno Böck
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren.
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren. (Bild: Wikimedia Commons / YannikUllersperger/CC0 1.0)

Tavis Ormandy von Googles Project Zero hat in Logitech Options eine schwere Sicherheitslücke entdeckt. Die Software öffnet einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt. Damit kann man beispielsweise Tastatureingaben simulieren und somit potentiell Code auf dem System ausführen.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Ormandy hatte sich die Software installiert, da er die Buttons seiner Maus unter Windows konfigurieren wollte. Dafür musste er die knapp 150 Megabyte große Software Logitech Options installieren. Nach der Installation wird die Software automatisch bei jedem Systemstart von Windows aufgerufen.

Software stürzt bei falschen Daten ab

Auf dem lokalen TCP-Port 10134 läuft anschließend ein Websockets-Service. Webseiten können mit diesem Service kommunizieren. Laut Ormandy lassen sich an den Service JSON-codierte Befehle schicken, deren Korrektheit wird aber nicht geprüft. Somit ist es sehr leicht möglich, den Service abstürzen zu lassen, indem man Daten mit unerwarteten Datentypen hinschickt.

Doch Ormandy fand ein noch viel größeres Problem: Der Service akzeptiert Befehle von beliebigen Webseiten. Er prüft die Herkunft der gesendeten Befehle, die sogenannte Origin, nicht. Das bedeutet, dass jede beliebige Webseite Befehle an den Websockets-Port schicken kann.

Damit die Befehle akzeptiert werden, müssen diese zwar die Prozess-ID des jeweiligen Services kennen. Doch diese ID ist nur wenige Stellen lang und lässt sich daher sehr schnell durch simples Ausprobieren herausfinden.

Auch neue Version betroffen

Ormandy schreibt, dass er sich im September mit Logitech-Entwicklern getroffen hat, um ihnen das Problem zu erläutern. Sie hätten ihm versichert, dass sie das Problem verstanden hätten und dass sie eine Prüfung der Origin und der korrekten Datentypen einbauen wollen. Doch laut Ormandy hat auch die jüngste Version von Logitech Options, die am 1. Oktober veröffentlicht wurde, dieselben Probleme.

Wir haben Logitech um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten. Anwendern von Logitech-Produkten sollten die Options-Software vorerst umgehend deinstallieren, da sie ansonsten einem hohen Risiko ausgesetzt sind.

Nachtrag vom 14. Dezember 2018, 10:54 Uhr

Logitech bietet auf seiner Webseite inzwischen ein Update an. Laut dem Twitteraccount der Firma sind die Sicherheitslücken behoben, auf der Webseite steht dazu jedoch nichts. Wir haben bei Tavis Ormandy nachgefragt und ihn gebeten zu prüfen, ob die Lücken tatsächlich geschlossen sind. Sobald wir eine Antwort haben, werden wir dies nachtragen.



Anzeige
Spiele-Angebote
  1. (-63%) 34,99€
  2. 12,49€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

Huanglong 17. Dez 2018 / Themenstart

Also auf der entsprechenden Logitech Seite https://support.logitech.com/en_us/software...

alcon 16. Dez 2018 / Themenstart

Bei der MX-Master 2S hast Du zusaetzlich noch die Features, dass Du Daten zwischen...

alcon 16. Dez 2018 / Themenstart

Die Software wird benoetigt um Daten zwischen mehreren Rechnern auszutauschen. Ich...

ruokanga 14. Dez 2018 / Themenstart

Könntet Ihr bitte mal nachforschen, was Logitech bezüglich der Gaming Software da macht...

Argh 14. Dez 2018 / Themenstart

Woher nimmst Du dieses Wissen? MacOS ist per se erstmal genauso gefährdet.

Kommentieren


Folgen Sie uns
       


Sony ZG9 angesehen (CES 2019)

Sony hat auf der CES 2019 mit dem ZG9 seinen ersten 8K-Fernseher vorgestellt.

Sony ZG9 angesehen (CES 2019) Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. IT Frauen, die programmieren und Bier trinken
  3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /