Yazılım
Trendler

Logitech Uygulamasında Güvenlik Kusuru Tuş Vuruşu Enjeksiyon Saldırılarına İzin Verdi

Google’ın Project Zero’su, 90 gün bekledikten sonra güvenlik açıklarının ayrıntılarını herkese açık olarak yayınladı

Google’ın Project Zero güvenlik ekibinin bir hata raporunu görmezden geldikten sonra , Logitech son olarak üç ay bekledikten sonra uygulamalarından biri için bir güvenlik düzeltme eki yayınladı.

Güvenlik açığı şirketin Seçenekler uygulamasında, kullanıcıların düğmelerinin işlevlerini ve davranışlarını kendi fare, klavye ve trackpad’lerinde özelleştirmelerine olanak tanıyan bir şekilde keşfedildi.

Google güvenlik araştırmacısı Tavis Ormandy, ilk olarak, uygulamanın kullanıcının cihazlarında Eylül ayında bir WebSocket sunucusu açtığını keşfetti.

Söz konusu sunucu, bir dizi izinsiz komut için destek sağladı ve her sistem önyüklemesinde otomatik olarak başlatmak için bir kayıt defteri anahtarı kullandı.

Tuş vuruş enjeksiyonları

Ormandy, Logitech’in yazılımında bulduğu hatanın, bir hata raporunda kullanıcının sistemini kontrol altına almak için nasıl kullanılabileceğine dair daha ayrıntılı bilgi verdi :

“Tek ‘kimlik doğrulaması’, kullanıcı tarafından sahip olunan bir işlemin bir PID [işlem kimliği] sağlamanız gerektiğidir, ancak sınırsız tahminler elde edersiniz, böylece bunu mikrosaniye cinsinden yapabilirsiniz. Bundan sonra, komutlar ve seçenekler gönderebilirsiniz. keyfi tuş vuruşlarını göndermek için “taç”, vb. ”

Ormandy, Logitech’i Eylül ayında konuyla ilgili olarak bilgilendirdi ve ekip hata raporunu kabul ederken, sorunu düzeltmek için hiçbir zaman bir yama yayınlamadı.

Bir şirket 90 gün sonra güvenlik sorunu için bir yama yayınlamadıysa, Project Zero’nun politikası Ormandy’nin bu hafta yaptığı açıkları kamuya açıklamaktır.

Hata raporu Twitter’da güvenlik araştırmacıları arasında dikkat çekti ve Logitech bu yana, sorunu çözmek için yeni bir Seçenekler sürümü yayınladı.

Etiketler
Daha fazla Göster

İlgili Haberler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Close
Close