Logitech Options: Software für Mäuse und Tastaturen mit großer Sicherheitslücke [Update]
Jetzt aktualisiert: Über eine Sicherheitslücke in der "Logitech Options"-Software zur Konfiguration von Mäusen und Tastaturen klafft eine Sicherheitslücke, die Angreifern über eine Webseite das Auführen von Code auf dem System eines Opfers ermöglichen kann. Nutzern wird zur Deinstallation geraten, bis der Hersteller das Problem behoben hat.
Aktualisierung vom 14.12.2018: Logitech hat Logitech Options 7.00 veröffentlicht, das die beschriebene Sicherheitslücken ("Origin Checks" und "Type Checking") beheben soll. Logitech nehme die Sicherheit sehr ernst und empfehle Kunden, ihre Software auf dem neuesten Stand zu halten und sich die neueste Version von Logitech Options 7.00 für Windows oder Mac herunterzuladen.
Originalartikel vom 12.12.2018: Im Rahmen von Google "Project Zero" zur Behebung und Aufdeckung von Sicherheitslücken hat der Sicherheitsforscher Tavis Ormandy auf eine schwerwiegende Sicherheitslücke in Logitechs Konfigurations-Software für Mäuse und Tastaturen hingewiesen: Diese öffnet einen lokalen Websockets-Port, der ohne Authentifizierung Befehle entgegennimmt, wodurch sich beispielsweise Tastatureingaben simulieren lassen und somit ein Angreifer Zugriff auf das System eines Opfers erhalten kann.
Eigentlich wollte Ormandy nur eine Taste seiner Maus neukonfigurieren, wofür er die rund 150 MByte große Software "Logitech Options" installierte, die standardmäßig bei jedem Systemstart von Windows ausgeführt wird. Über den lokalen TCP-Port 10134 läuft anschließend ein Websockets-Service, mit dem auch Webseiten Service kommunizieren können. Zudem lassen sich an den Dienst JSON-codierte Befehle schicken, deren Korrektheit nicht geprüft wird und dieser so durch Daten mit unerwarteten Datentypen leicht zum Absturz gebracht werden kann.
Der Dienst akzeptiert demnach Befehle von beliebigen Webseiten und prüft deren Herkunft nicht. Zwar müssen diese hierfür die Prozess-ID des jeweiligen Dienstes kennen, doch besitzt die ID nur wenige Stellen und lässt sich recht leicht durch Ausprobieren erraten. Ormandy habe die Sicherheitslücke im September zunächst im direkten Kontakt mit Logitech-Entwicklern weitergegeben, die daraufhin eine Prüfung der Befehlsherkunft und der korrekten Datentypen einbauen wollten, was jedoch mit der jüngsten Version vom 1. Oktober noch nicht geschehen sei und die Sicherheitslücke deshalb nun publik gemacht wurde.
Nutzern der Software wird aufgrund der Gefahrensituation dazu geraten Logitech Options zu deinstallieren. Die Kollegen von Golem.de haben den Hersteller um eine Stellungnahme gebeten, aber bisher keine Antwort erhalten.

Danke für die Info
Nein, G Geräte werden nicht unterstützt.
SetPoint war der Vorgänger von der Gaming Software.
Es wär mal geil wenn man ne neuauflage der G19 macht mit Romer-G switches. Das wäre dann ne richtig nice Tastatur.
Nein, G Geräte werden nicht unterstützt.
SetPoint war der Vorgänger von der Gaming Software.
Funktioniert dieses Options auch mit meiner G 510 und meiner G 602 ?
Ich habe hier Logitech SetPoint, das ist noch wieder was anderes, glaube ich...?