Jak czytamy na stronie producenta sterowników, oprogramowania i peryferii: „Logitech Options to wielofunkcyjna aplikacja umożliwiająca pełne wykorzystanie myszy, klawiatur i paneli dotykowych firmy Logitech. Dostosuj ustawienia urządzenia, używając programu Options, a jego nowe funkcje cię zaskoczą”.
No i zaskoczyły. Aplikacja do mapowania klawiszy oraz przycisków posiada poważne luki w zabezpieczeniach, które za pośrednictwem złośliwej strony mogą przekazać klawiaturze zasymulowanie naciśnięcia klawiszy, i według zapotrzebowania atakującego, wykonać dowolny kod z uprawnieniami użytkownika.
Luka została zgłoszona 12 września 2018 roku i 1 października pojawiła się łatka, która niestety nie naprawia wskazanego problemu.
x = new WebSocket("ws://localhost:10134");
x.onmessage = function(event) {console.log("message", event.data); };
x.onopen = function(event) { console.log("open", event); };
Złośliwa strona zawierająca część powyższego skryptu może wywołać uruchomienie kodu w systemie. Sterowniki, które startują razem ze systemem (aplikacja dodaje się do autostartu) uruchamiają serwer websocket na porcie 10134, więc za pośrednictwem przeglądarki można uruchomić dowolne polecenie, ponieważ nie jest wymagane żadne uwierzytelnienie.
Najnowsza wersja Logitech Options 6.94.17.0 ciągle jest podatna. W zasadzie jedyną rozsądną radą jest wyłączenie albo odinstalowanie oprogramowania do czasu załatania luki.
