Abo
  • Services:

Logitech Options: Logitech-Software ermöglicht Ausführung von schädlichem Code

In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.

Artikel veröffentlicht am , Hanno Böck
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren.
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren. (Bild: Wikimedia Commons / YannikUllersperger/CC0 1.0)

Tavis Ormandy von Googles Project Zero hat in Logitech Options eine schwere Sicherheitslücke entdeckt. Die Software öffnet einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt. Damit kann man beispielsweise Tastatureingaben simulieren und somit potentiell Code auf dem System ausführen.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden
  2. DEKRA SE, Stuttgart

Ormandy hatte sich die Software installiert, da er die Buttons seiner Maus unter Windows konfigurieren wollte. Dafür musste er die knapp 150 Megabyte große Software Logitech Options installieren. Nach der Installation wird die Software automatisch bei jedem Systemstart von Windows aufgerufen.

Software stürzt bei falschen Daten ab

Auf dem lokalen TCP-Port 10134 läuft anschließend ein Websockets-Service. Webseiten können mit diesem Service kommunizieren. Laut Ormandy lassen sich an den Service JSON-codierte Befehle schicken, deren Korrektheit wird aber nicht geprüft. Somit ist es sehr leicht möglich, den Service abstürzen zu lassen, indem man Daten mit unerwarteten Datentypen hinschickt.

Doch Ormandy fand ein noch viel größeres Problem: Der Service akzeptiert Befehle von beliebigen Webseiten. Er prüft die Herkunft der gesendeten Befehle, die sogenannte Origin, nicht. Das bedeutet, dass jede beliebige Webseite Befehle an den Websockets-Port schicken kann.

Damit die Befehle akzeptiert werden, müssen diese zwar die Prozess-ID des jeweiligen Services kennen. Doch diese ID ist nur wenige Stellen lang und lässt sich daher sehr schnell durch simples Ausprobieren herausfinden.

Auch neue Version betroffen

Ormandy schreibt, dass er sich im September mit Logitech-Entwicklern getroffen hat, um ihnen das Problem zu erläutern. Sie hätten ihm versichert, dass sie das Problem verstanden hätten und dass sie eine Prüfung der Origin und der korrekten Datentypen einbauen wollen. Doch laut Ormandy hat auch die jüngste Version von Logitech Options, die am 1. Oktober veröffentlicht wurde, dieselben Probleme.

Wir haben Logitech um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten. Anwendern von Logitech-Produkten sollten die Options-Software vorerst umgehend deinstallieren, da sie ansonsten einem hohen Risiko ausgesetzt sind.

Nachtrag vom 14. Dezember 2018, 10:54 Uhr

Logitech bietet auf seiner Webseite inzwischen ein Update an. Laut dem Twitteraccount der Firma sind die Sicherheitslücken behoben, auf der Webseite steht dazu jedoch nichts. Wir haben bei Tavis Ormandy nachgefragt und ihn gebeten zu prüfen, ob die Lücken tatsächlich geschlossen sind. Sobald wir eine Antwort haben, werden wir dies nachtragen.



Anzeige
Top-Angebote
  1. 399,00€ (Wert der Spiele rund 212,00€)
  2. (u. a. Pro Evolution Soccer 2019 8,50€, Styx: Shards of Darkness 9,99€)
  3. (u. a. Far Cry New Dawn 22,49€, Assassin's Creed Odyssey 29,99€)
  4. 62,90€

Huanglong 17. Dez 2018

Also auf der entsprechenden Logitech Seite https://support.logitech.com/en_us/software...

alcon 16. Dez 2018

Bei der MX-Master 2S hast Du zusaetzlich noch die Features, dass Du Daten zwischen...

alcon 16. Dez 2018

Die Software wird benoetigt um Daten zwischen mehreren Rechnern auszutauschen. Ich...

ruokanga 14. Dez 2018

Könntet Ihr bitte mal nachforschen, was Logitech bezüglich der Gaming Software da macht...

Argh 14. Dez 2018

Woher nimmst Du dieses Wissen? MacOS ist per se erstmal genauso gefährdet.


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Galaxy S10+ im Test: Top und teuer
Galaxy S10+ im Test
Top und teuer

Mit dem Galaxy S10+ bringt Samsung erstmals eine Dreifachkamera in eines seiner Top-Smartphones. Die Entwicklung, die mit dem Galaxy A7 begann, hat sich gelohnt: Das Galaxy S10+ macht sehr gute Bilder, beim Preis müssen wir aber schlucken.
Ein Test von Tobias Költzsch

  1. Samsung Gesichtsentsperrung des Galaxy S10 lässt sich austricksen
  2. Samsung Galaxy S10 Europäer erhalten weiter langsameren Prozessor
  3. Galaxy S10 im Hands on Samsung bringt vier neue Galaxy-S10-Modelle

    •  /