Under de gångna åren har säkerhetsbrister i såväl mjukvara som hårdvara blivit än mer relevanta, inte minst då världen förlitar sig på digitala system i en allt större omfattning. Både Meltdown och Spectre avslöjade brister i moderna processorarkitekturer, och mindre säkerhetshål uppdagas på regelbunden basis.

En grupp som aktivt arbetar med detta är Googles säkerhetssatsning Project Zero, som nu har publicerat uppgifter om en brist i mjukvaran Logitech Options. Programmet är nämligen konstant igång, och håller en port öppen för anrop från webben. När dessa anrop inkommer görs sedan ingen kontroll överhuvudtaget gällande ursprunget.

Detta gör det möjligt för eventuella angripare att skicka simulerade tangentslag via en webbplats, där dessa enbart behöver vara konfigurerade enligt samma logik som Logitechs utvecklingskit för tangentbordsreglaget "Crown". Vid anrop krävs förvisso ett process-ID som användaren har ägarskap för, men då det inte finns några begränsningar på antalet anrop som får göras kan detta gissas på kort tid genom att skicka stora mängder anrop, en så kallad brute force-metod.

Därefter kan kommandon skickas fritt till användarens dator. Tavis Ormandy rapporterade felet till Logitech den 12 september, och den 18 september svarade företaget att de skulle lägga till kontroller för ursprung och täppa till säkerhetshålet. Detta gjordes ej inom tidsfristen där buggen hålls hemlig, varpå Project Zero nu publicerat information om säkerhetsbristen på sin webbplats.

Oroade användare kan dock pusta ut, då Logitech nyligen släppte en uppdatering till Options med åtgärder som löser säkerhetsbristerna. Användare uppmanas därför att ladda ned den senaste uppdateringen från bolagets webbplats.

Läs mer om den senaste tidens säkerhetsläckor: