Så vitt jag vet har varken Razer- eller SteelSeries-sårbarheterna fått några CVEr, men avseende diskussionerna om detta verkligen är allvarliga problem eller inte så kan det vara värt att nämna att när man graderar en sårbarhet så görs det utifrån flera perspektiv, bl a:
Attackvektor (Via internet, via samma nätverk, lokal eller fysisk åtkomst)
Attackkomplexitet (Krav på förkunskaper, särskild utrustning, om det finns färdiga exploits, etc)
Nödvändiga behörigheter (inga alls, vanliga, eller priviligerade)
Interaktion med användaren (t ex om "offret" behöver luras till att göra något)
Ovanstående är fritt tolkat från CVSS-specifikationen, om ni vill läsa själva.
I de här fallen krävs fysisk åtkomst, vilket sänker allvarlighetsgraden jämfört med om det hade gått att utnyttja via internet. Däremot så krävs (i princip) ingen särskild utrustning eller avancerade kunskaper. Dessutom finns det färdiga exploits/verktyg för att underlätta en attack.
Så att jämföra dessa sårbarheter t ex med det faktum att man med god kunskap och särskild utrustning kan avläsa information genom att ansluta till en SATA-enhets kontakt-pins på en öppen och upp-och-nervänd dator känns inte helt rätt.
Det är vanligt att man hör resonemang i stil med "har man fysisk access kan man göra vad man vill" men det behöver inte vara sant. Har användaren bara vanliga behörigheter och om datorn är uppdaterad och krypterad med BitLocker så går det inte att eskalera sina behörigheter utan vidare. .. Och även om det är möjligt tycker jag inte det motiverar att man struntar i allt och ger upp.
Är inte säker på att det är så smart att göra jämförelser för jag gissar att folk kommer såga jämförelsen istället för att fokusera på essensen av vad jag ville förmedla ovan, men: Jag tänker inte sluta låsa dörren när jag går hemifrån bara för att någon med fysisk åtkomst kan slå sönder ett fönster.
