首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

罗技Options被曝注入攻击漏洞,官方修复

由于罗技没有照惯例在三个月内对此漏洞进行修复,谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后,罗技官方在一则推文中对此事进行了回复,表示新发布的7.00版软件已经对相关漏洞进行了修复。

Tavis Ormandy表示,通过此漏洞,应用程序可以打开一个WebSocket服务器;通过这一方式,外部来源可以用最小限度的身份验证,从任意网站访问应用程序。

据报道,攻击者可以通过流氓网站向Options应用程序发送一系列命令,更改用户的设置。此外,攻击者还可以通过更改一些简单的配置设置,来发送任意击键命令,从而获得访问所有信息的方式,甚至接管目标设备。

进一步来说,只要用户的电脑处于打开状态,同时这一应用保持在后台运行,理论上攻击者几乎能发起连续访问。

Tavis Ormandy表示,9月18日与罗技工程师会面时,对方曾向他表示会修复此问题;但他发现,罗技10月1日发布的新版本实际没有解决问题。随着截止日期的来到,Tavis Ormandy决定将漏洞公开。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181216A0VP3000?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券