Update: Logitech reagiert auf Shitstorm zur Sicherheitslücke

Update, 14.12.2018:

Vergangene Nacht gewann die Kritik an Logitechs Software-Sicherheitslücke bei "Logitech Options" auf Twitter an Fahrt. Der Schweizer Hardware-Hersteller hat darauf reagiert und einen Patch nachgereicht, um das Problem zu beheben. Options 7.00.564 soll die Sicherheitslücke ausmerzen.

Ursprüngliche Meldung vom 13.12.2018:

Logitech-Software hat eine gravierende Sicherheitslücke

Die aktuelle Version der von Logitech angebotenen Software "Logitech Options" weist ein gravierendes Problem auf. Tavis Ormandy von Googles Project Zero hat darin eine schwere Sicherheitslücke entdeckt, wie "Golem" schreibt. Der White-Hat-Hacker empfiehlt vorerst die komplette Deinstallation des Programms, weil es für das Problem noch keine offizielle Lösung gibt.

Laut Ormandy öffne die Software einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt. Das soll Tastatureingaben simulieren und könne damit Code auf dem System ausführen. Nach der Installation wird die Software automatisch bei jedem Systemstart von Windows aufgerufen und Websites können mit diesem Service frei kommunizieren. Schlimmer noch: der Service soll Befehle akzeptieren und überprüfe die Herkunft nicht. Somit kann jede beliebige Website Befehle an den Port schicken. Damit die Befehle akzeptiert werden, müssen diese zwar die Prozess-ID des jeweiligen Services kennen, das lässt sich jedoch schnell durch Ausprobieren ermitteln, wie es weiter heisst.

Ormandy habe sich im September mit Logitech-Entwicklern getroffen, um die Sicherheitslücke zu erklären. Sie hätten ihm versichert, das Problem verstanden zu haben und Massnahmen zur Lösung des Problems einzuleiten. Doch laut Ormandy besitzt die am 1. Oktober ausgelieferte Version von "Logitech Options" die gleichen Sicherheitslücken. Logitech habe gegenüber "Golem" noch keine Stellung zum Problem bezogen.