Несколько дней назад стало известно, что программное обеспечение Razer Synapse для Windows 10 оказалось «дырявым» — при подключении клавиатуры или мыши можно было получить повышенные привилегии в системе. Но, как выяснилось, этим страдают и другие производители.
Исследователь безопасности Лоуренс Амер (Lawrence Amer) выяснил, что аналогичная проблема есть в приложении компании SteelSeries. При установке программы можно запустить окно командной строки с правами администратора, что даёт возможность выполнять любые действия в системе.
При этом портал Tom's Guide уточняет, что это фундаментальная проблема Windows 10, которая не отличает аппаратные драйверы от прикладного ПО для периферии. Если в первом случае права администратора не нужны, то во втором они требуются.
На данный момент в разделе «Параметры установки устройств» можно отключить автоматическую установку драйверов. А в приложении SteelSeries GG разработчики отключили установщик программы, который запускается при подключении нового устройства. Это делает невозможным использование уязвимости. Однако сам факт наличия такой бреши поднимает другие вопросы.