Actualités
22/03/19 Deux nouveaux jeux supportés par les drivers AMD Radeon Adrenalin 19.3.3
22/03/19 Les GeForce GTX 16 Series supportent Windows 8.1
22/03/19 Pilote Creative X-Fi 2.40.0018 : un correctif pour les éditions 19H1 et 20H1 de Windows 10 ?
21/03/19 Intel met fin au développement de son pilote USB 3.0 xHCI
21/03/19 NVIDIA lance le pilote Creator Ready Driver pour les créateurs de contenu
19/03/19 NVIDIA finalise Ansel RTX et Freestyle avec le GFE 3.18 [MAJ]
18/03/19 Le point sur les failles de sécurité dans les pilotes et logiciels Intel
15/03/19 AMD supporte DirectX 12 sous Windows 7 avec le pilote Radeon 19.3.2 !
14/03/19 Les NAS D-Link DNS ShareCenter vulnérables au ransomware Cr1ptT0r
14/03/19 Nouveaux drivers pour les cartes sons Creative Sound Blaster Audigy 4


Fichiers
22/03/19 Cowon PLENUE D2 1.02
22/03/19 Rivet Killer Drivers 2.0.2373 WHQL
22/03/19 NVIDIA NVS/Quadro ODE 419.67 WHQL
21/03/19 AMD Install Manager 19.3.3
21/03/19 AMD Radeon HD 7000/8000/R 200/300/Fury/RX 400/500/Vega 19.3.3 bêta
21/03/19 Team Group TEAM CROSS 1.0.1445.53
21/03/19 Creative Sound Blaster X-Fi Titanium 2.40.0018 WHQL
21/03/19 Cowon PLENUE 2 Mark I/Mark II 2.21
21/03/19 Micron Storage Executive 3.65.012019.06
21/03/19 Micron Storage Executive Command Line Interface 4.25.022019.04
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier Modifier son compte FAQ

Pages : 1

Par Julien
Le 17/12/2018 à 17:20:30



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0
Nous vous parlions en fin de semaine dernière de la sortie du logiciel Options 7.0 pour les claviers et souris Logitech. Cette mise à jour majeure offre la possibilité d'enregistrer les réglages des périphériques dans le cloud Logitech pour les restaurer facilement sur une autre machine par exemple.

Mais cette mise à jour 7.0 d'Options a également pour but de corriger une faille de sécurité critique qui a été mise au jour par Tavis Ormandy, expert en sécurité dans l'équipe Project Zero de Google. D'après le rapport de bugs sur le bugtracker du projet Chromium, cette vulnérabilité a été signalée à Logitech dès le mois de septembre mais le constructeur suisse tardant à publier un correctif, le chercheur a finalement décidé de la rendre publique le 11 décembre 2018 et deux jours plus tard, miracle, Logitech intégrait enfin la correction dans Options 7.0. La sortie de cette mise à jour majeure a d'ailleurs sans doute été un peu précipitée à cette occasion.

La correction de cette faille de sécurité a été confirmée par Logitech sur son site web même si le premier changelog publié n'en parlait pas initialement mais aussi sur Twitter :


Concrètement, l'exploit de cette faille était très simple et affectait le serveur WebSocket en écoute sur le port TCP 10134 qui a été intégré dans l'application Options pour gérer la fonctionnalité Flow c'est à dire le partage de périphériques entre plusieurs machines du réseau local. Nous avions d'ailleurs abordé cette fonctionnalité dans notre dossier L'application Logitech Options et sa fonction Flow. En fait, n'importe quel site web consulté par un utilisateur possédant le logiciel Options pouvait potentiellement se connecter à ce serveur local WebSocket (sur l'hôte ws://localhost:10134) grâce à un petit script JavaScript intégré dans la page web. Logitech n'avait malheureusement implémenté aucun système d'authentification ni aucun contrôle du type de données reçues par le serveur WebSocket. Un site web malveillant pouvait donc exécuter tout un tas de commandes mais aussi faire effectuer au clavier Logitech des frappes de touches avec toutes les conséquences que cela peut avoir...

Bref, la mise à jour de toutes les versions 6.x du logiciel Options est vivement recommandée en espérant que le correctif de Logitech soit efficace ce qui semble impératif en particulier avec cette nouvelle fonctionnalité d'enregistrement des réglages dans le cloud dont on ne connaît d'ailleurs absolument pas la liste exacte des données transmises.

Application Logitech Options 7.00.564 pour Windows 7/8/8.1/10

Mise à jour du 19/12/2018

Logitech vient déjà de publier une nouvelle mise à jour d'Options 7.0, numérotée 7.10.3, qui renforce encore un peu plus la sécurité des connexions au serveur WebSocket.


Modérateur TLD
Par Julien
Le 19/12/2018 à 09:41:20



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0    Modifier le message
Options 7.10.3 est déjà là pour améliorer encore un peu plus la sécurité. News mise à jour.

Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message Logitech corrige une vulnérabilité critique dans Options 7.0

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.