2.4GHz帯ワイヤレスマウス/キーボードのUSBドングルに存在する脆弱性「Mousejack」 46
ストーリー by headless
ouija 部門より
ouija 部門より
多くのワイヤレスマウス/キーボードに存在し、キーストロークなどを攻撃者が送信可能な脆弱性「Mousejack」の詳細が公表された(プレスリリース: PDF、
CERT - VU#981271、
MIT Technology Reviewの記事、
Consumeristの記事)。
Mousejackは非Bluetooth接続の2.4GHz帯ワイヤレスマウス/キーボードで使用するUSBドングルに存在する脆弱性。攻撃者は15ドル程度のUSB無線ドングルと数行のコードで最大100mの距離からキーストロークの送信などが可能となり、PCを乗っ取ることができるという。キーボードレベルの脆弱性であることから、Windows、OS X、LinuxなどOSにかかわらず影響を受ける。
発見者のBastilleはLogitechやDell、Lenovo、Microsoft、HPなどの製品で脆弱性を確認しているが、非Bluetooth接続のドングルの多くに存在するという。Logitechは修正版のファームウェアを提供しているが、多くのドングルにはユーザーがファームウェアを更新する仕組みが備わっていないとのこと。LenovoでもLenovo 500シリーズのワイヤレスマウス/キーボードについて修正版のファームウェアをリリースしているが、ファームウェアの書き込みは製造時のみ可能とのことで、ユーザーの申し出があれば交換すると説明している。
このほか、現在確認済みのデバイスについてはBastilleのWebページを参照してほしい。
Mousejackは非Bluetooth接続の2.4GHz帯ワイヤレスマウス/キーボードで使用するUSBドングルに存在する脆弱性。攻撃者は15ドル程度のUSB無線ドングルと数行のコードで最大100mの距離からキーストロークの送信などが可能となり、PCを乗っ取ることができるという。キーボードレベルの脆弱性であることから、Windows、OS X、LinuxなどOSにかかわらず影響を受ける。
発見者のBastilleはLogitechやDell、Lenovo、Microsoft、HPなどの製品で脆弱性を確認しているが、非Bluetooth接続のドングルの多くに存在するという。Logitechは修正版のファームウェアを提供しているが、多くのドングルにはユーザーがファームウェアを更新する仕組みが備わっていないとのこと。LenovoでもLenovo 500シリーズのワイヤレスマウス/キーボードについて修正版のファームウェアをリリースしているが、ファームウェアの書き込みは製造時のみ可能とのことで、ユーザーの申し出があれば交換すると説明している。
このほか、現在確認済みのデバイスについてはBastilleのWebページを参照してほしい。
hit (スコア:2)
logitec/logicool K400rヒット。
とりあえずファーム更新。
それにしても
Logitech’s Unifying technology was launched in 2007 and has been used by millions of our consumers since. To our knowledge, we have never been contacted by any customer with such an issue related to this potential vulnerability.
なかなかわらえる。9年間報告ないんじゃしゃーねーな。
Re:hit (スコア:1)