Anfang des Jahres wurden Sicherheitslücken im Logitech Unifying Empfänger festgestellt. Diese wurden auf GitHub dokumentiert. Die Schwachstelle selber „erfordert eine spezielle Ausrüstung und Fähigkeiten“ wie Logitech selber schreibt. Jetzt steht ein Firmware Update zur Verfügung.
Mit dem Firmware Update Tool 1.2.169 kann man den Unifying Empfänger dann updaten. Er steht für Windows 10, 8.x und 7 sowie macOS bereit. Nach dem Start des Firmwaretools lässt sich die Maus oder Tastatur nicht benutzen. Es dauert aber nicht sehr lange, bis das Update durchgelaufen ist.
Von fre4kyC0de, der uns informierte kam noch dieser Text:
Was mir im Rahmen des Updates auffiel:
- Vor Start von SecureDFU/FirmwareUpdateTool einmal Maus bewegen und eine Taste auf der Tastatur drücken (also beide Geräte „aufwecken“), um falsch negative Ergebnisse (a la „alles aktuell“) zu verhindern.
- Es kann sein, dass Maus und Tastatur während des Updates bzw. danach durch Windows als neue Geräte erkannt werden; unter Windows 7 und 10 (getestet mit den Builds 14393, 16299 und 18362) gab es keine Probleme; nur auf einem alten XP-System musste ich mit einer PS/2-Maus (eine andere USB-Maus sollte aber auch funktionieren; sofern diese vor dem Update vollständig installiert und einsatzfähig war) erst den Hardware-Wizard durchklicken, bis die USB-Geräte wieder funktionierten.
Info und Download:
- support.logi.com/
- github.com/UnifyingVulnsDisclosureRepo
- Download: Auswahl Windows und Mac:support.logi.com/articles
- Linux: fwupd.org/ (Aktuell noch nicht bestätigt)
- Windows 10, 8 und 7 x64: FirmwareUpdateTool_1.2.169_x64.exe
- Windows 10, 8 und 7 x86: FirmwareUpdateTool_1.2.169_x86.exe
- macOS10.14 und höher: FirmwareUpdateToolInstaller.zip
- Übersicht (wenn man sie so nennen kann) github.com/Logitech/fw_updates
Firmware Update für Logitech Unifying Empfänger steht zum Download bereit – Sicherheitslücke wurde geschlossen
Nee, nee, nee – Logitech Unifying mag ich nicht und plane ich nicht. Logi-Mäuse nutze ich diverse, momentan sind 3 im Einsatz und 2 im Schränkchen (funktionfähige natürlich) – aber „eine Maus für mehrere Geräte“ ist m.E. am falschen Platz gespart…
…jeder Comp soll schon „seine“ Maus haben – Hugo paßt die schon so an, das er bestmöglich damit zurecht kommt. Das ist nötig, weil ich ja im Tagesverlauf öfters mal die Rechner wechsele.
Bei mir hat das nicht mit Sicherheitsbedenken zu tun, sondern mit meiner Vorgehesnweise an den Computern. Die Maus ist da quasi meine 3. Hand.
—————————————-
Diese „Dritthand“ ist aber nicht nur auf Logitech fixiert, ich bin da durchaus offen für andere Marken. So wie bei meinen Apple-Tastaturen an Win-Rechnern, mit denen ich prima zurecht komme.
@Herr Hugo oder andere:
kennst du eine Computermaus (für Windows Rechner) im Stile einer Magic Mouse 2 von Apple, die aber im Gegensatz dazu auch beim Ladevorgang per USB Kabel weiterbetrieben werden kann?
Ich nutze die Magic Mouse (alte Generation) am Mac und finde sie gut (Design sowieso), mich stört aber der „Designfehler“, dass der Ladeanschluss sich an der Unterseite befindet, sodass es heißt: entweder Laden o d e r Mausbedienung. Beides geht nicht.
Wichtig für mich: Design und Lademöglichkeit per Kabel
Tjaaa – ich helfe gerne, wenn ich kann. Aber: die Magic Mouse ist für mich keine Maus, sondern… nun ja: Tastaturen können die Apples, Mäuse könn´se nicht.
Sage ich, weil ich an allen Win-Rechnern Apple-Tastaturen nutze, aber selbst an einem Mac keine Apple-Maus in Frage kommt – sowas unergonomisches brauche ich nicht. Also ignoriere ich auch ähnliche Mäuse, die explizit für Win gedacht sind.
——————————
Das mit dem „Designfehler“ (laden oder werkeln) sehe ich genau so – aber dafür hätte ich einen durchaus ernstgemeinten Rat (wenn du die Magic wirklich so magst): nimm 85,- in die Hand und kauf dir noch eine im Apple-Shop
Danke!
Wurde auch Zeit mit dem Update für den Unifying.
Übrigens, es fehlt im Blog ein Hinweis für unsere Linux-Nutzer.
Hab den Link mal hinzugefügt.
So, nun geht meine K400 Plus gar nicht mehr.
Windows 10 Version 1903
Und nun, was kann ich tun?
Danke
Was bedeutet „geht gar nicht mehr“ genau?
Bitte eine etwas genauere Beschreibung.
Leuchtet/Blinkt an der Tastatur irgendetwas?
War das Firmware-Update denn erfolgreich (also laut Programm)?
Gab es Auffälligkeiten beim Update (während des Updates blinkten bei meiner K850 die CAPS- und Batterie-LED im Wechsel; nach Abschluss nicht mehr)?
Wird der Receiver erkannt (USB-Sound beim Abziehen und Wiederanstecken)?
Klassikerfragen: Schon einen anderen Anschluss getestet? PC mal neu gestartet? Aus der Tastatur einmal die Batterien rausgenommen? Neues Pairing mal versucht?
Während dem Update kam keine Auffälligkeiten, nach den 100% habe ich mehrere Minuten gewartet und es kam keine Rückmeldung ob es erfolgreich war oder nicht.
Meine K400 Plus reagiert auf nichts.
Batterien herausgenommen und wieder eingelegt, andere frische Batterien probiert, den Empfänger am Fernseher und an einem anderen PC angesteckt, leider ohne Erfolg. Während dem Update habe ich die Tastatur nicht berührt oder getippt. Verstehe ich nicht weshalb nach dem Update nichts funktioniert?
@Johnny
Ich gehöre zwar nicht zu Logitech, mich würde aber folgendes auch interessieren:
„Wird der Receiver erkannt (USB-Sound beim Abziehen und Wiederanstecken)?“
Gibt es eine andere Maus/Tastatur, um einen Blick in den Geräte-Manager werfen zu können?
Im Zweifel hilft nur, sich an Logitech zu wenden.
Viele Grüße
Danke für die Info! Wusste auch gar nicht das meine G903 Lightspeed auch einen Unifying Reciever hat, da auf dem nur G903 steht und nicht auch das Orangefarbene Symbol. Aber das Update ging schnell durch.
Ging mit meinem Empfänger und ner M510 alles problemlos durch.
Lief hier auch problemlos durch (Windows 10 1903), ohne das die Geräte neu installiert wurden. Alles funktioniert bis jetzt bestens.
Lief auch hier alles durch ohne Probleme oder irgendwelchen Neu Installationen. Windows 10 x64 20H1 18965.
Danke Danke Danke Deskmodder!
Das nämlich so zu finden, sauschwierig.
Auf das Firmware Security Update wäre ich so nicht gekommen!
Benutze nämlich diesen Empfänger, hatte seit dem Security Leak immer ein schlechtes Gefühl. Logitech K800 Keyboard wireless.
Nochmal Danke, Deskmodder!
Gruß,
DI
G700s … nix wird gefunden
Habe auch eine G700. Der mitgelieferte Empfänger ist kein unifying Empfänger.
Danke für die Informationen, ich wusste gar nicht
das es ein Firmware Update Tool gibt, ich kenne nur die „normale“
Treiber und Konfig Software ^^
Logitechs Firmwareupdater will nicht nicht mit allen Receivern.
Für Maus M705 und Tastatur K350 läufts, aber nicht Maus M185.
Gerade das Update Tool durchlaufen lassen, scheint geklappt zu haben.
Welche Firmware Versionen müssten danach angezeigt werden im Unifying Tool?
Aktuell:
Empfänger: 012.010.00032
M185 Maus: 040.000.00016
K360 Tastatur: 036.000.00007
Hab mir die vorherigen nicht gemerkt…
Ich leider auch nicht.
naja, 2 Lücken bleiben bestehen, da sonst Kompatibilität der Unifying-Geräte untereinander nicht mehr gewährleisten könne
https://www.heise.de/newsticker/meldung/Logitech-Firmware-Update-macht-Funktastaturen-und-maeuse-sicherer-4510224.html
Zitat: Logitech: Firmware-Update macht Funktastaturen und -mäuse sicherer
Per Firmware-Update hat Logitech zwei Lücken in seinem Unifying-Funkprotokoll geschlossen – und zwei nicht. Daran soll sich auch nichts mehr ändern.
zumeist verwende ich eine Maus mit Kabel, für das Notebook ist aber eine Logitech Maus (MX2 Anywhere) im Rucksack, die betreibe ich aber mit Bluetooth, somit ist das Problem bei mir nicht vorhanden
privat wird es auch kaum Probleme geben, denn ein Angriff ohne pysischen Zugang zur Tastatur/Maus, ist sehr schwierig, in einer Firma kann dies schon ein Problem sein
Warte mal lass mich mal den Empfänger checken…yo, genau den habe ich.
Aber nach dem Firmware Update sollte meine K800 nun sicher sein!
Davon gehe ich aber mal verdammt noch mal aus.
Oder ich kaufe mir bald ne Corsair wireless. Hasse keyboards mit Kabelgedöns…..
Hey Logitech support if your read this:
Bin mit euren Produkten total zufrieden. Die Logitech BRIO ist eine geile Cam. Man sollte aber auch die Sicherheit niemals ausser Acht lassen.
Ansonsten sind Logitech Produkte wirklich Premium von der Qualität her.
;=)
Schade, es wird weder durch SecureDFU noch durch die Logitech Unifying Software ein Update gefunden. Die aktuell installierte Firmware 050.001.00013 habe ich bereits vor zwei Monaten installiert. Tasten hatte ich vor dem Start der Software gedrückt, sogar die Update Suche mit der Logitech Tastatur ausgelöst. Der Empfänger ist von der Logitech K400r und hat auf jeden Fall das Unify Logo drauf.
Logitechs Receiver haben ein fürchterliches Namenschaos.
Ich weiß von mindestens 4 unterschiedlichen Receivern mit unterschiedlichen Firmware-Versionen.
Wenn ich Logitechs eigene GitHub-Repo (https://github.com/Logitech/fw_updates/tree/update2019-08-27) richtig verstanden habe, sollten folgene Revisionen aktuell sein (@moinmoin: vllt. könnten diese Versionen im Beitrag noch ergänzt werden)
Receiver RQR12: 012.010.00032
Receiver RQR24: 024.010.00036
Receiver RQR39: 039.005.00040
Receiver RQR40: 040.001.00007
Receiver RQR41: 041.001.00007
Receiver RQR43: 043.001.00009
Receiver RQR44: 044.001.00005
Receiver RQR45: 045.001.00005
K780: 001.004.00028
K370s/K375s: 003.003.00013
003.004.00014
K850: 004.002.00014
004.003.00015
K830: 062.001.00015 [bei dieser Version bin ich mir nicht sicher]
Viele Grüße
Danke dir. Ich hab oben mal die GitHub-Seite verlinkt.
Da sieht ja fast wirklich niemand durch. Aber ich gehe mal davon aus, dass der Updater schon weiß ob oder ob nicht.