亚洲w88.net·罗技应用程序安全漏洞允许击键注入攻击

  • 发布:2019-12-24 11:28:46
  • 来源:杏仁资讯

亚洲w88.net·罗技应用程序安全漏洞允许击键注入攻击

亚洲w88.net,更多全球网络安全资讯尽在e安全官网www.easyaq.com

小编来报:谷歌安全研究人员使罗技蒙羞,罗技这才为不安全的应用程序发布安全更新。

google project zero安全团队曾向罗技发送过一条针对其旗下某应用程序的错误报告,对此并不重视的罗技三个月后才为之发布安全补丁。

在罗技应用程序options多个版本中发现了该漏洞,options可允许用户自定义按钮与其鼠标、键盘及触摸板的行为。

早在九月,谷歌安全研究员塔维斯·奥曼迪(tavisormandy)就发现该应用程序在用户计算机上打开了websocket服务器。

该服务器可支持多个侵入性命令,利用注册表项在每次系统启动时自启动,并导致身份验证系统延迟,而这正是问题所在。

奥曼迪在错误报告中称,“唯一的‘身份验证’是你必须提供用户拥有的进程的pid【进程id】,但你可无限猜测,以在几微秒内完成暴力破解。”

“这之后,你可发送命令与选项,配置crown以发送任意击键等,”专家说道。这意味着该应用程序可作为本地与远程击键注入 (rubber ducky)攻击两者的完美攻击面,而这些攻击曾被用于接管个人电脑。

奥曼迪在九月中旬向罗技报告了该问题。但罗技团队收到该错误报告后,却从未发布任何安全补丁。

奥曼迪表示,“我在9月18日曾与罗技工程师面谈,他们向我保证称,他们理解这些问题并计划增添“原生”检查与类型检查。罗技在10月1日发布了更新,但据我所知他们并未解决任何问题。”

鉴于该公司在90天内未解决其私下报告的问题,奥曼迪在本周二公布了调查结果。

由于该错误报告近日在推特上引发了各安全研究人员的关注,罗技立即发布了补丁与 options 7.00.564以解决奥曼迪所报告的问题。

芒勇资讯

© Copyright 2018-2019 amigow.com杏仁资讯 Inc. All Rights Reserved.