漏洞可招致按键注入攻击发新版软件修复AG真人国际罗技Options被曝

　　谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞△☆▽△◇…，用户可以使用它对罗技鼠标●☆、键盘和触摸板进行自定义■=▲…△▽。IT之家所有文章均包含本声明■▼□=◆。IT之家12月16日消息Logitech Options是罗技官方推出的一款软件•▽■▲◆，据Threat Post报道□…●○▲，今年9月◆•…，广告声明◇□▼：文内含有的对外跳转链接（包括不限于超链接•◆○▪★•、二维码■◆、口令等形式）•●◇▽超能战士多功能鼠标！，

　　进一步来说•◁▲●◁，只要用户的电脑处于打开状态=▼，同时这一应用保持在后台运行▲▪◇，理论上攻击者几乎能发起连续访问--…▷◆■。

　　据报道△☆=▼，攻击者可以通过流氓网站向Options应用程序发送一系列命令△□◁，更改用户的设置●•…◇。此外-…▷◁★，攻击者还可以通过更改一些简单的配置设置■●☆-=■电竞鼠标上架：双模滚轮、26000 DP 同时▷◁，这款鼠标还可实现650 IPSAG真人国际◁●，可检测达50G加速度▪=▷AG真人游戏·电竞精英鼠标。，另有两挡LOD可调节●•。此外◁△○， 更多 电竞鼠标上架：双模滚轮、26000 DP。，来发送任意击键命令…▲▷漏洞可招致按键注入攻击发新版软件修，从而获得访问所有信息的方式-▷，甚至接管目标设备▽▷…■•。

　　Tavis Ormandy表示▷▲，通过此漏洞★◆◁■▼●，应用程序可以打开一个WebSocket服务器▽•◁■▽；通过这一方式◆•●◆…☆，外部来源可以用最小限度的身份验证AG真人国际官网▪◇●△，从任意网站访问应用程序AG真人国际官网☆★•☆•。

　　用于传递更多信息▷■-◆△，结果仅供参考▪●……，节省甄选时间●★=，可以招致按键注入攻击▼▪==◆。

　　由于罗技没有照惯例在三个月内对此漏洞进行修复▷•○▼◁•，谷歌ProjectZero团队在12月11日公开披露了此漏洞=△□。两天后……○■，罗技官方在一则推文中对此事进行了回复◁☆○▽★，表示新发布的7•▽○-.00版软件已经对相关漏洞进行了修复-△•◇复AG真人国际罗技Options被曝。

　　Tavis Ormandy表示★•☆◁☆，9月18日与罗技工程师会面时☆★，对方曾向他表示会修复此问题▽…◁•=▪；但他发现□●◁○☆，罗技10月1日发布的新版本实际没有解决问题◇△••。随着截止日期的来到◇■，Tavis Ormandy决定将漏洞公开★•○▷。