 Nous vous parlions en fin de semaine dernière de la sortie du logiciel Options 7.0 pour les claviers et souris Logitech. Cette mise à jour majeure offre la possibilité d'enregistrer les réglages des périphériques dans le cloud Logitech pour les restaurer facilement sur une autre machine par exemple.
Mais cette mise à jour 7.0 d'Options a également pour but de corriger une faille de sécurité critique qui a été mise au jour par Tavis Ormandy, expert en sécurité dans l'équipe Project Zero de Google. D'après le rapport de bugs sur le bugtracker du projet Chromium, cette vulnérabilité a été signalée à Logitech dès le mois de septembre mais le constructeur suisse tardant à publier un correctif, le chercheur a finalement décidé de la rendre publique le 11 décembre 2018 et deux jours plus tard, miracle, Logitech intégrait enfin la correction dans Options 7.0. La sortie de cette mise à jour majeure a d'ailleurs sans doute été un peu précipitée à cette occasion.
La correction de cette faille de sécurité a été confirmée par Logitech sur son site web même si le premier changelog publié n'en parlait pas initialement mais aussi sur Twitter :
Concrètement, l'exploit de cette faille était très simple et affectait le serveur WebSocket en écoute sur le port TCP 10134 qui a été intégré dans l'application Options pour gérer la fonctionnalité Flow c'est à dire le partage de périphériques entre plusieurs machines du réseau local. Nous avions d'ailleurs abordé cette fonctionnalité dans notre dossier L'application Logitech Options et sa fonction Flow. En fait, n'importe quel site web consulté par un utilisateur possédant le logiciel Options pouvait potentiellement se connecter à ce serveur local WebSocket (sur l'hôte ws://localhost:10134) grâce à un petit script JavaScript intégré dans la page web. Logitech n'avait malheureusement implémenté aucun système d'authentification ni aucun contrôle du type de données reçues par le serveur WebSocket. Un site web malveillant pouvait donc exécuter tout un tas de commandes mais aussi faire effectuer au clavier Logitech des frappes de touches avec toutes les conséquences que cela peut avoir...
Bref, la mise à jour de toutes les versions 6.x du logiciel Options est vivement recommandée en espérant que le correctif de Logitech soit efficace ce qui semble impératif en particulier avec cette nouvelle fonctionnalité d'enregistrement des réglages dans le cloud dont on ne connaît d'ailleurs absolument pas la liste exacte des données transmises.
Application Logitech Options 7.00.564 pour Windows 7/8/8.1/10
Mise à jour du 19/12/2018
Logitech vient déjà de publier une nouvelle mise à jour d'Options 7.0, numérotée 7.10.3, qui renforce encore un peu plus la sécurité des connexions au serveur WebSocket.
|
Modérateur TLD
|
|
Actualités
24/04/24 La version finale de rekordbox 7.0 publiée par Pioneer DJ en mai 2024 ?
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
24/04/24 Microsoft Surface Laptop 5 22621 24.040.1348.0 WHQL
