Logitech soluciona una vulnerabilidad después de que la divulgue el Project Zero

28 diciembre, 2018
18 Compartido 2,035 Visualizaciones

Cuando hablamos de solucionar vulnerabilidades de seguridad, ya debería estar claro que las palabras solo cuentan cuando van seguidas de acciones.

Si no que pregunten al fabricante de periféricos Logitech, quien la semana pasada fue la última empresa en encontrarse en la vergonzosa lista pública de divulgación de vulnerabilidades de seguridad del equipo Project Zero de Google.

En septiembre, el experto del Project Zero, Tavis Ormandy, instaló Logitech Options para Windows, con la finalidad de personalizar los botones de los teclados y ratones de esa empresa.

Rápidamente se dio cuenta de algunos problemas con el diseño de la aplicación, comenzando por el hecho que: »Abre un servidor websocket en el puerto 10134 al que cualquier web se puede conectar y no tiene ningún tipo de comprobación en origen».

Los websockets simplifican la comunicación entre un cliente y un servidor y, a diferencia de HTTP, hace posible que los servidores envíen datos a los clientes sin que primero se lo pidan, lo que crea riesgos adicionales de seguridad. »La única “autenticación” es que tienes que dar una identificación del proceso que tiene el usuario, pero como no hay un límite de intentos, se puede obtener por fuerza bruta en microsegundos».

Ormandy afirma que esto ofrece a los atacantes una manera de ejecutar un registro de pulsaciones del teclado para tomar control del PC Windows que ejecute ese software.

El 1 de octubre apareció una nueva versión de Options sin el parche, aunque para ser justos, probablemente Logitech no había tenido tiempo suficiente para crearlo. Como cualquiera que siga al Project Zero sabe, trabajan con un período estricto de 90 días de margen para que las empresas puedan solucionar los problemas que encuentran antes de hacerlos públicos.

Teniendo en cuenta el primer email enviado a Logitech, ese período terminó el 11 de diciembre, día en el que hicieron público el problema recomendando que se desactivara Logitech Options hasta que estuviera disponible una actualización.

Claramente,  la divulgación hizo que las cosas se movieran ya que el 13 de diciembre, Logitech actualizó Options a la versión 7.00.564 (7.00.554 para Mac). La empresa también dijo que habían solucionado la vulnerabilidad, lo que confirmó Ormandy ese mismo día

Logitech no son los primeros en notar la guillotina de Project Zero sobre su cuello. Este mismo año le tocó a Microsoft quien vio como publicaban una vulnerabilidad en su navegador Edge.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Los CIOs deben reinventarse creando nuevas plataformas digitales de ágil conectividad y modernizando sus sistemas de legacy
Soluciones Seguridad
18 compartido2,042 visualizaciones
Soluciones Seguridad
18 compartido2,042 visualizaciones

Los CIOs deben reinventarse creando nuevas plataformas digitales de ágil conectividad y modernizando sus sistemas de legacy

Mónica Gallego - 14 diciembre, 2018

En una economía marcada por la innovación, el CIO tiene que reinventarse si quiere que su empresa siga liderando la…

Inauguración de la Jornada del Día de Internet Segura 2019
Actualidad
14 compartido1,147 visualizaciones
Actualidad
14 compartido1,147 visualizaciones

Inauguración de la Jornada del Día de Internet Segura 2019

Vicente Ramírez - 5 febrero, 2019

El Día de Internet Segura está promovido por la Comisión Europea a través de la Red INSAFE. El director general…

Combinando la próxima generación de SIEM con orquestación avanzada y seguridad en la nube
Actualidad
25 compartido1,395 visualizaciones
Actualidad
25 compartido1,395 visualizaciones

Combinando la próxima generación de SIEM con orquestación avanzada y seguridad en la nube

Vicente Ramírez - 15 octubre, 2018

Helix mejora el SIEM al combinar la orquestación y la seguridad en la nube con la inteligencia de amenazas, la…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.