Actualités
14/06/19 Microsoft débloque l'installation de Windows 10 1903 sur les configurations AMD RAID
14/06/19 Mises à jour Microsoft de juin 2019
14/06/19 Le firmware 4.0.7 du Freebox Delta Server donne accès au flux de la caméra via une URL
12/06/19 L'application de streaming vidéo Hulu disparaît des lecteurs de Blu-ray Sony
12/06/19 Logitech complète le logiciel Sync avec une interface web multi-sites
12/06/19 Pilote AMD Radeon 19.6.1 pour les jeux Microsoft Xbox Game Pass for PC
12/06/19 Support des nouvelles souris Logitech HERO et de la G602 dans le G HUB 2019.5
11/06/19 Cinq nouveaux claviers Apex dans le SteelSeries Engine 3 3.15.0
07/06/19 Une application Quadro Experience pour les GPU NVIDIA professionnels
07/06/19 Orange met à jour les décodeurs TV 4 et TV 5 (UHD)


Fichiers
14/06/19 Gainward EXPERTool 10.27
14/06/19 Palit ThunderMaster 3.27
14/06/19 DisplayLink DL-1xx/DL-1xxx/DL-3xxx/DL-41xx/DL-5xxx/DL-6xxx/DL-8xxx Hot Desking 9.2 WHQL bêta
14/06/19 DisplayLink DL-1xx/DL-1xxx/DL-3xxx/DL-41xx/DL-5xxx/DL-6xxx/DL-8xxx 9.2 WHQL bêta
14/06/19 Intel Chipset Device Software 10.1.18019.8144 WHQL
14/06/19 AMD SATA/NVMe RAID F6 9.2.0.120 WHQL
14/06/19 AMD SATA/NVMe RAID 9.2.0.120 WHQL
14/06/19 SiliconDust HDHomeRun 20190611 build 1 bêta
14/06/19 Pioneer SPH-DA230DAB 8.23
14/06/19 Pioneer SPH-DA240BT 8.03
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 17/12/2018 à 17:20:30



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0
Nous vous parlions en fin de semaine dernière de la sortie du logiciel Options 7.0 pour les claviers et souris Logitech. Cette mise à jour majeure offre la possibilité d'enregistrer les réglages des périphériques dans le cloud Logitech pour les restaurer facilement sur une autre machine par exemple.

Mais cette mise à jour 7.0 d'Options a également pour but de corriger une faille de sécurité critique qui a été mise au jour par Tavis Ormandy, expert en sécurité dans l'équipe Project Zero de Google. D'après le rapport de bugs sur le bugtracker du projet Chromium, cette vulnérabilité a été signalée à Logitech dès le mois de septembre mais le constructeur suisse tardant à publier un correctif, le chercheur a finalement décidé de la rendre publique le 11 décembre 2018 et deux jours plus tard, miracle, Logitech intégrait enfin la correction dans Options 7.0. La sortie de cette mise à jour majeure a d'ailleurs sans doute été un peu précipitée à cette occasion.

La correction de cette faille de sécurité a été confirmée par Logitech sur son site web même si le premier changelog publié n'en parlait pas initialement mais aussi sur Twitter :


Concrètement, l'exploit de cette faille était très simple et affectait le serveur WebSocket en écoute sur le port TCP 10134 qui a été intégré dans l'application Options pour gérer la fonctionnalité Flow c'est à dire le partage de périphériques entre plusieurs machines du réseau local. Nous avions d'ailleurs abordé cette fonctionnalité dans notre dossier L'application Logitech Options et sa fonction Flow. En fait, n'importe quel site web consulté par un utilisateur possédant le logiciel Options pouvait potentiellement se connecter à ce serveur local WebSocket (sur l'hôte ws://localhost:10134) grâce à un petit script JavaScript intégré dans la page web. Logitech n'avait malheureusement implémenté aucun système d'authentification ni aucun contrôle du type de données reçues par le serveur WebSocket. Un site web malveillant pouvait donc exécuter tout un tas de commandes mais aussi faire effectuer au clavier Logitech des frappes de touches avec toutes les conséquences que cela peut avoir...

Bref, la mise à jour de toutes les versions 6.x du logiciel Options est vivement recommandée en espérant que le correctif de Logitech soit efficace ce qui semble impératif en particulier avec cette nouvelle fonctionnalité d'enregistrement des réglages dans le cloud dont on ne connaît d'ailleurs absolument pas la liste exacte des données transmises.

Application Logitech Options 7.00.564 pour Windows 7/8/8.1/10

Mise à jour du 19/12/2018

Logitech vient déjà de publier une nouvelle mise à jour d'Options 7.0, numérotée 7.10.3, qui renforce encore un peu plus la sécurité des connexions au serveur WebSocket.


Modérateur TLD
Par Julien
Le 19/12/2018 à 09:41:20



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0    Modifier le message
Options 7.10.3 est déjà là pour améliorer encore un peu plus la sécurité. News mise à jour.

Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message Logitech corrige une vulnérabilité critique dans Options 7.0

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.