这些在罗技 Unifying 接收器新发现的漏洞,编号为 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 与 CVE-2019-13055,罗技预计 8 月释出更新,修补后两个漏洞,但前两个漏洞因会影响产品效能,且攻击手段有一定难度,所以放弃修正。
更值得消费者注意的是,拥有上述漏洞的产品,目前依然于市面销售,且自 2016 年爆出 MouseJack 安全性问题后,罗技并没有实质召回任何拥有漏洞的产品,仅释出了部分更新。
虽然罗技声称,不召回产品是评估企业和消费者风险后所下的决定,但罗技也曾指出,他们会“逐步修复”这些漏洞,但很显然成效不彰。
只不过,这些漏洞实际上也不只存在于罗技的键鼠产品,MouseJack 也影响来自 DELL、HP、Lenovo 和微软的装置,可能原因是这些装置的无线接收器,同样采用 Nordic 和德州仪器开发的芯片,由于罗技允许使用者更新 Unifying 接收器固件,因此罗技产品相对之下反倒更安全。
以下是一些示范 CVE-2019-13052、CVE-2019-13053、CVE-2019-13054 与 CVE-2019-13055 等漏洞的攻击影片,部分产品将在 8 月获得相应更新,如果仍在使用较旧装置的朋友,或许可以考虑购入新产品(前提是罗技先将旧产品下架),避免可能的安全风险。
- Why you should really, really update your Logitech wireless dongle
- Logitech wireless USB dongles vulnerable to new hijacking flaws
(本文由 T客邦 授权转载;首图来源:pixabay)
