Nemrég adtunk hírt róla, hogy súlyos biztonsági rést fedeztek fel a Razer gamer perifáriák szoftverében, amellyel bárki magas szintű hozzáférésre tehet szert a Windows 10 felett.
A problémát a Razer-eszközöket kiszolgáló szoftver, a Synapse rejti, melynek automatikusan elinduló telepítése során megoldható, hogy egy PowerShell ablak előhívásával admin jogokat szerezzünk az operációs rendszerben.
A könnyen nyíló hátsó kaput egy biztonsági szakértő fedezte fel, aki a Twitteren még egy videót is megosztott a módszerről, miután a Razer válaszra sem méltatta az előzetes figyelmeztetését.
Need local admin and have physical access?
— jonhat (@j0nh4t) August 21, 2021
- Plug a Razer mouse (or the dongle)
- Windows Update will download and execute RazerInstaller as SYSTEM
- Abuse elevated Explorer to open Powershell with Shift+Right click
Tried contacting @Razer, but no answers. So here's a freebie pic.twitter.com/xDkl87RCmz
Az esetről értesülve az amerikai IGN is megkereste a perifériagyártót, amely a lappal szemben már beszédesebbnek bizonyult:
"Felhívták a figyelmünket egy olyan helyzetre, amelyben a szoftverünk egy nagyon speciális esetben szélesebb hozzáférést biztosíthat a felhasználó eszközéhez. Megvizsgáltuk a problémát, és jelenleg változtatásokat végzünk a telepítőn, hogy leszűkítsük ennek a lehetőségét, hamarosan pedig kiadjuk a frissített változatot. A szoftverünk viszont (beleértve a telepítő alkalmazást) harmadik félnek nem biztosít illetéktelen hozzáférést a gépekhez."
- áll a Razer nyilatkozatában. Ahogy arról az eredeti hírben is beszámoltunk, a telepítős trükk a SteelSeries egereknél is működik, a dán gyártó viszont hamarabb reagált, arról tájékoztatva, hogy dolgozik a szükséges frissítésen.
