首页 资讯 安全 查看内容

罗技应用程序安全漏洞允许击键注入攻击

2018-12-15 17:42 |来自: 互联网 1940 0

摘要: 现今随着互联网的迅猛的发展态势已完全形成,时代也变革的不一样了!各行各业都被改变了不少,老百姓的生活也变得越来越好了! 这样好的形式也得多亏了三大运营商,是它们通过联合覆盖,让一个又一个地方的移动 ...

Google Project Zero安全团队曾向罗技发送过一条针对其旗下某应用程序的错误报告,对此并不重视的罗技三个月后才为之发布安全补丁。 

在罗技应用程序Options多个版本中发现了该漏洞,Options可允许用户自定义按钮与其鼠标、键盘及触摸板的行为。 

早在九月,谷歌安全研究员塔维斯·奥曼迪(TavisOrmandy)就发现该应用程序在用户计算机上打开了WebSocket服务器。 

该服务器可支持多个侵入性命令,利用注册表项在每次系统启动时自启动,并导致身份验证系统延迟,而这正是问题所在。 

奥曼迪在错误报告中称,“唯一的‘身份验证’是你必须提供用户拥有的进程的PID【进程ID】,但你可无限猜测,以在几微秒内完成暴力破解。” 

 “这之后,你可发送命令与选项,配置Crown以发送任意击键等,”专家说道。这意味着该应用程序可作为本地与远程击键注入 (Rubber Ducky)攻击两者的完美攻击面,而这些攻击曾被用于接管个人电脑。 

奥曼迪在九月中旬向罗技报告了该问题。但罗技团队收到该错误报告后,却从未发布任何安全补丁。 

奥曼迪表示,“我在9月18日曾与罗技工程师面谈,他们向我保证称,他们理解这些问题并计划增添“原生”检查与类型检查。罗技在10月1日发布了更新,但据我所知他们并未解决任何问题。” 

鉴于该公司在90天内未解决其私下报告的问题,奥曼迪在本周二公布了调查结果。 

由于该错误报告近日在推特上引发了各安全研究人员的关注,罗技立即发布了补丁与 Options 7.00.564以解决奥曼迪所报告的问题。


E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱②邮箱[email protected]

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登陆E安全门户网站户网站户网站户网站www.easyaq.com ,  查看更多精彩内容。

本文出处: http://www.sohu.com/a/281978946_99892931?_f=index_chan30news_35
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部