Logitech soluciona una vulnerabilidad después de que la divulgue el Project Zero

28 diciembre, 2018
18 Compartido 2,164 Visualizaciones

Cuando hablamos de solucionar vulnerabilidades de seguridad, ya debería estar claro que las palabras solo cuentan cuando van seguidas de acciones.

Si no que pregunten al fabricante de periféricos Logitech, quien la semana pasada fue la última empresa en encontrarse en la vergonzosa lista pública de divulgación de vulnerabilidades de seguridad del equipo Project Zero de Google.

En septiembre, el experto del Project Zero, Tavis Ormandy, instaló Logitech Options para Windows, con la finalidad de personalizar los botones de los teclados y ratones de esa empresa.

Rápidamente se dio cuenta de algunos problemas con el diseño de la aplicación, comenzando por el hecho que: »Abre un servidor websocket en el puerto 10134 al que cualquier web se puede conectar y no tiene ningún tipo de comprobación en origen».

Los websockets simplifican la comunicación entre un cliente y un servidor y, a diferencia de HTTP, hace posible que los servidores envíen datos a los clientes sin que primero se lo pidan, lo que crea riesgos adicionales de seguridad. »La única “autenticación” es que tienes que dar una identificación del proceso que tiene el usuario, pero como no hay un límite de intentos, se puede obtener por fuerza bruta en microsegundos».

Ormandy afirma que esto ofrece a los atacantes una manera de ejecutar un registro de pulsaciones del teclado para tomar control del PC Windows que ejecute ese software.

El 1 de octubre apareció una nueva versión de Options sin el parche, aunque para ser justos, probablemente Logitech no había tenido tiempo suficiente para crearlo. Como cualquiera que siga al Project Zero sabe, trabajan con un período estricto de 90 días de margen para que las empresas puedan solucionar los problemas que encuentran antes de hacerlos públicos.

Teniendo en cuenta el primer email enviado a Logitech, ese período terminó el 11 de diciembre, día en el que hicieron público el problema recomendando que se desactivara Logitech Options hasta que estuviera disponible una actualización.

Claramente,  la divulgación hizo que las cosas se movieran ya que el 13 de diciembre, Logitech actualizó Options a la versión 7.00.564 (7.00.554 para Mac). La empresa también dijo que habían solucionado la vulnerabilidad, lo que confirmó Ormandy ese mismo día

Logitech no son los primeros en notar la guillotina de Project Zero sobre su cuello. Este mismo año le tocó a Microsoft quien vio como publicaban una vulnerabilidad en su navegador Edge.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Cinco buenos hábitos para evitar un ciberataque
Network Security
1042 visualizaciones1
Network Security
1042 visualizaciones1

Cinco buenos hábitos para evitar un ciberataque

José Luis - 26 enero, 2018

Las PYMES son un blanco fácil ya que carecen de medidas de seguridad básicas como backups. Se producen ciberataques cada…

Repensar la seguridad en la Nube: arquitectura, riesgos, tecnologías y estrategias
Eventos
28 compartido1,320 visualizaciones
Eventos
28 compartido1,320 visualizaciones

Repensar la seguridad en la Nube: arquitectura, riesgos, tecnologías y estrategias

Vicente Ramírez - 16 octubre, 2019

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, junto con el capítulo español…

75.000 euros de media cuesta a nuestras empresas sufrir un ciberataque
Actualidad
24 compartido1,504 visualizaciones
Actualidad
24 compartido1,504 visualizaciones

75.000 euros de media cuesta a nuestras empresas sufrir un ciberataque

José Luis - 12 febrero, 2018

Sólo en España, en 2016 el coste medio de un ciberataque rondó los 75.000 euros, lo que supone unos 14.000…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.