Actualités
18/01/19 Pilote DCH 100.6519 pour les IGP Intel
17/01/19 Un patch de compatibilité pour Windows 10 RS2, RS3 et RS4
16/01/19 Firmware Freebox OS 4.0.4 pour la Freebox Delta avec Wi-Fi AC sur 160 MHz
15/01/19 Drivers 417.71 pour le support du GPU GeForce RTX 2060 et des moniteurs FreeSync
14/01/19 La mise à jour HDR10+ des TV Panasonic 2017 décalée
14/01/19 Des solutions pour les problèmes de partages SMB et de carte réseau sous Windows 7
11/01/19 Léger gain de performances dans Fortnite avec les drivers AMD Radeon 19.1.1
11/01/19 Les drivers KCC UWD 2.0 finalisés pour les cartes réseaux Killer
11/01/19 Mises à jour Microsoft de janvier 2019
09/01/19 XSplit VCam remplace ChromaCam pour les webcams Logitech mais requiert une licence


Fichiers
22/01/19 Crucial Acronis True Image 2019 for Crucial 23.0.1.14350
21/01/19 Intel PROSet/Wireless Bluetooth Software 20.110.0 WHQL
21/01/19 Bloody KeyDominator 2 2019.0118
21/01/19 Thrustmaster TH8 Shifter/TSS Handbrake 1.TH8RS.2019
21/01/19 AORUS ENGINE 1.5.2
21/01/19 AORUS RGB Fusion 2.0 B19.0116.1
21/01/19 EVGA NU Audio 0.1.0.1
21/01/19 Hercules DJUCED 4.0 4.0.6
21/01/19 D-BOX Configuration Manager Tools 1.2.1
21/01/19 G.SKILL Ripjaws KM780/KM780R MX 2.02
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier Modifier son compte FAQ

Pages : 1

Par Julien
Le 17/12/2018 à 17:20:30



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0
Nous vous parlions en fin de semaine dernière de la sortie du logiciel Options 7.0 pour les claviers et souris Logitech. Cette mise à jour majeure offre la possibilité d'enregistrer les réglages des périphériques dans le cloud Logitech pour les restaurer facilement sur une autre machine par exemple.

Mais cette mise à jour 7.0 d'Options a également pour but de corriger une faille de sécurité critique qui a été mise au jour par Tavis Ormandy, expert en sécurité dans l'équipe Project Zero de Google. D'après le rapport de bugs sur le bugtracker du projet Chromium, cette vulnérabilité a été signalée à Logitech dès le mois de septembre mais le constructeur suisse tardant à publier un correctif, le chercheur a finalement décidé de la rendre publique le 11 décembre 2018 et deux jours plus tard, miracle, Logitech intégrait enfin la correction dans Options 7.0. La sortie de cette mise à jour majeure a d'ailleurs sans doute été un peu précipitée à cette occasion.

La correction de cette faille de sécurité a été confirmée par Logitech sur son site web même si le premier changelog publié n'en parlait pas initialement mais aussi sur Twitter :


Concrètement, l'exploit de cette faille était très simple et affectait le serveur WebSocket en écoute sur le port TCP 10134 qui a été intégré dans l'application Options pour gérer la fonctionnalité Flow c'est à dire le partage de périphériques entre plusieurs machines du réseau local. Nous avions d'ailleurs abordé cette fonctionnalité dans notre dossier L'application Logitech Options et sa fonction Flow. En fait, n'importe quel site web consulté par un utilisateur possédant le logiciel Options pouvait potentiellement se connecter à ce serveur local WebSocket (sur l'hôte ws://localhost:10134) grâce à un petit script JavaScript intégré dans la page web. Logitech n'avait malheureusement implémenté aucun système d'authentification ni aucun contrôle du type de données reçues par le serveur WebSocket. Un site web malveillant pouvait donc exécuter tout un tas de commandes mais aussi faire effectuer au clavier Logitech des frappes de touches avec toutes les conséquences que cela peut avoir...

Bref, la mise à jour de toutes les versions 6.x du logiciel Options est vivement recommandée en espérant que le correctif de Logitech soit efficace ce qui semble impératif en particulier avec cette nouvelle fonctionnalité d'enregistrement des réglages dans le cloud dont on ne connaît d'ailleurs absolument pas la liste exacte des données transmises.

Application Logitech Options 7.00.564 pour Windows 7/8/8.1/10

Mise à jour du 19/12/2018

Logitech vient déjà de publier une nouvelle mise à jour d'Options 7.0, numérotée 7.10.3, qui renforce encore un peu plus la sécurité des connexions au serveur WebSocket.


Modérateur TLD
Par Julien
Le 19/12/2018 à 09:41:20



Inscription : le 16/02/2001
Localisation : Vitrolles
Logitech corrige une vulnérabilité critique dans Options 7.0    Modifier le message
Options 7.10.3 est déjà là pour améliorer encore un peu plus la sécurité. News mise à jour.

Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message Logitech corrige une vulnérabilité critique dans Options 7.0

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.