[情报] 继 Razer 之后,SteelSeries 也爆出类似

楼主: hn9480412 (ilinker)   2021-08-26 17:34:52
继 Razer 之后,同样透过 Windows Update 安装管理软件的 SteelSeries 也爆出类似的
资安问题
by Chevelle.fu
2021.08.25 09:02PM
前几天 Razer 爆出由于周边产品可由微软的 Windows Update 自动安装,但由于过程当中
的权限设定问题导致可能会被骇客取得电脑的管理权限加以功能,现在一位香港的安全研
究员劳伦斯表示,同样循 Windows Update 自动安装管理软件的 SteelSeries 也传出遇到
相同的安全性问题。
SteelSeries 与 Razer 的状况相似,但作为攻击手段的步骤略有不同, Razer 是透过安
装程式可选择安装资料夹的步骤选择其它路径、再透过右键叫出 PowerShell ;而
SteelSeries 虽然在安装过程无法指定资料夹,却可透过选择开启 SteelSeries 的隐私权
页面的方式,借由指定使用 Internet Explorer 浏览器,再透过[另存]选择资料夹,此时
即可依样画葫芦在选择资料夹路径时以右键执行 PowerShell 。
Razer 与 SteelSeries 的漏洞同样是需要直接操作电脑才可进行,但也同样可以借由伪装
的设备 ID 操作。
https://www.cool3c.com/article/164608

Links booklink

Contact Us: admin [ a t ] ucptt.com