Update 14.12.2018: Logitech hat per Twitter bestätigt, dass der Fix implementiert sei.
Meine Empfehlung ist dennoch auf Antwort bzw. Bestätigung von Tavis zu warten.
Der Sicherheitsforscher Tavis Ormandy von Googles Project Zero hat in der Software “Logitech Options” von Logitech eine kritische Sicherheitslücke gefunden.
Tavis hat die Software nur untersucht, weil er mit Logitech Options seine Mausknöpfe konfigurieren wollte. Dass die Lücke gefunden wurde, ist somit reiner Zufall.
Laut Ormandy kann man an den Service JSON-codierte Befehle schicken, deren Herkunft (Origin) und Korrektheit wird aber nicht geprüft.
Somit ist es möglich, Code auf entfernten Rechnern auszuführen. Die Befehle können z.B. von einer präparierten/manipulierten Webseite kommen. Logitechs Software öffnet den TCP-Port 10134 um dort einen Websockets Dienst laufen zu lassen.
Damit die Befehle akzeptiert und verarbeitet werden, muss zwar die Prozess-ID des Dienstes bekannt sein. Doch diese ID ist nur wenige Stellen lang und lässt sich deshalb leicht durch simples Ausprobieren erraten.
Oktober Version ebenfalls betroffen
Nach Aussage von Tavis traf er sich am 18. September mit Entwicklern von Logitech. Es schien, als hätten sie das Problem verstanden. Sie wollen seinen Empfehlungen folgen und eine Prüfung auf Korrektheit und Herkunft einbauen.
Die am 01. Oktober veröffentlichte Version hat einen solchen Fix NICHT integriert.
Daher ist die aktuelle Empfehlung die Software zu deinstallieren.
Es gibt zwar eine weitere neue Version (veröffentlicht 13.12.2018), diese wurde aber noch nicht überprüft.
In den Patchnotes steht auch nicht explizit, dass die Lücke geschlossen wurde. Da die Lücke bisher scheinbar nicht geschlossen werden kann, sollte die Software bis auf weiteres nicht installiert werden.