Abo
  • IT-Karriere:

Logitech Options: Logitech-Software ermöglicht Ausführung von schädlichem Code

In einer Software zur Konfiguration von Logitech-Tastaturen und Mäusen klafft ein riesiges Sicherheitsloch. Nutzer von Logitech Options sollten es vorerst deinstallieren: Bisher gibt es keinen Fix.

Artikel veröffentlicht am , Hanno Böck
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren.
Gefährliche Konfigurationssoftware: Nutzer von Logitech Options sollten die Software besser deinstallieren. (Bild: Wikimedia Commons / YannikUllersperger/CC0 1.0)

Tavis Ormandy von Googles Project Zero hat in Logitech Options eine schwere Sicherheitslücke entdeckt. Die Software öffnet einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt. Damit kann man beispielsweise Tastatureingaben simulieren und somit potentiell Code auf dem System ausführen.

Stellenmarkt
  1. GRASS GmbH, Höchst (Österreich), Reinheim
  2. BWI GmbH, Ulm

Ormandy hatte sich die Software installiert, da er die Buttons seiner Maus unter Windows konfigurieren wollte. Dafür musste er die knapp 150 Megabyte große Software Logitech Options installieren. Nach der Installation wird die Software automatisch bei jedem Systemstart von Windows aufgerufen.

Software stürzt bei falschen Daten ab

Auf dem lokalen TCP-Port 10134 läuft anschließend ein Websockets-Service. Webseiten können mit diesem Service kommunizieren. Laut Ormandy lassen sich an den Service JSON-codierte Befehle schicken, deren Korrektheit wird aber nicht geprüft. Somit ist es sehr leicht möglich, den Service abstürzen zu lassen, indem man Daten mit unerwarteten Datentypen hinschickt.

Doch Ormandy fand ein noch viel größeres Problem: Der Service akzeptiert Befehle von beliebigen Webseiten. Er prüft die Herkunft der gesendeten Befehle, die sogenannte Origin, nicht. Das bedeutet, dass jede beliebige Webseite Befehle an den Websockets-Port schicken kann.

Damit die Befehle akzeptiert werden, müssen diese zwar die Prozess-ID des jeweiligen Services kennen. Doch diese ID ist nur wenige Stellen lang und lässt sich daher sehr schnell durch simples Ausprobieren herausfinden.

Auch neue Version betroffen

Ormandy schreibt, dass er sich im September mit Logitech-Entwicklern getroffen hat, um ihnen das Problem zu erläutern. Sie hätten ihm versichert, dass sie das Problem verstanden hätten und dass sie eine Prüfung der Origin und der korrekten Datentypen einbauen wollen. Doch laut Ormandy hat auch die jüngste Version von Logitech Options, die am 1. Oktober veröffentlicht wurde, dieselben Probleme.

Wir haben Logitech um eine Stellungnahme gebeten, eine Antwort haben wir bisher nicht erhalten. Anwendern von Logitech-Produkten sollten die Options-Software vorerst umgehend deinstallieren, da sie ansonsten einem hohen Risiko ausgesetzt sind.

Nachtrag vom 14. Dezember 2018, 10:54 Uhr

Logitech bietet auf seiner Webseite inzwischen ein Update an. Laut dem Twitteraccount der Firma sind die Sicherheitslücken behoben, auf der Webseite steht dazu jedoch nichts.



Anzeige
Hardware-Angebote
  1. 49,70€
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de

Huanglong 17. Dez 2018

Also auf der entsprechenden Logitech Seite https://support.logitech.com/en_us/software...

alcon 16. Dez 2018

Bei der MX-Master 2S hast Du zusaetzlich noch die Features, dass Du Daten zwischen...

alcon 16. Dez 2018

Die Software wird benoetigt um Daten zwischen mehreren Rechnern auszutauschen. Ich...

ruokanga 14. Dez 2018

Könntet Ihr bitte mal nachforschen, was Logitech bezüglich der Gaming Software da macht...

Argh 14. Dez 2018

Woher nimmst Du dieses Wissen? MacOS ist per se erstmal genauso gefährdet.


Folgen Sie uns
       


Mercedes EQC Probe gefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC Probe gefahren Video aufrufen
Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  2. Batterieprobleme Auslieferung des e.Go verzögert sich
  3. ID Charger VW bringt günstige Wallbox auf den Markt

Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
Galaxy Fold im Hands on
Samsung hat sein faltbares Smartphone gerettet

Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
Ein Hands on von Tobias Költzsch

  1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
  2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
  3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

    •  /