• 搜索

主页 / 公司 / 博客 / Synaptics TouchPad 驱动程序 – 安全简报

Synaptics TouchPad 驱动程序 – 安全简报

(版本 1.2)

Synaptics 为笔记本电脑产品提供 TouchPad(触控板)及其所需的软件驱动程序,以实现一流的用户体验。Synaptics 高度重视客户的安全与隐私,并通过持续改进,努力达到甚至超越行业最佳实践。

Synaptics 已注意到一些文章声称我们触控板驱动程序中存在“键盘记录器(keylogger)”。这一说法并不准确。我们的调试工具被错误地描述为“键盘记录器”。

每家笔记本 OEM(原始设备制造商)都会定制 TouchPad 功能以体现差异化。我们一直与这些 OEM 合作,提升驱动程序的质量。为满足这些需求并提升用户体验,Synaptics 在驱动程序中提供了一个定制的调试工具,用于 TouchPad 的诊断、调试和参数优化。该调试功能是所有 Synaptics 驱动程序中的标准工具,适用于各 PC OEM,并在生产版本中存在。该调试工具在生产完成后已被关闭,且在出厂前不会开启。Synaptics 现认为,出于行业最佳实践的考虑,应将该调试工具从生产版本驱动中移除。目前,Synaptics 未知该工具曾引发任何安全漏洞。

在出厂后,供应商或用户可能希望通过启用调试工具进一步优化 TouchPad 体验。该调试工具只能由具有管理员(Admin)权限并拥有特殊开发工具的人员启用和使用。启用后,调试工具会以专有二进制格式收集数据,并存入循环内存缓冲区,该缓冲区在每次电源事件发生时都会被覆盖或删除。

根据标准化的风险评分系统 CVSS(Common Vulnerability Scoring System,通用漏洞评分系统),该调试工具的风险得分约为 2 分(满分为 10 分),被归类为低风险。在当前对安全与隐私日益敏感的背景下,Synaptics 将采取预防性措施,从生产驱动中移除调试工具,以防止其被非预期或恶意使用。

Synaptics 正与我们的 PC 客户密切合作,更新驱动程序并进行部署以应对安全问题。同时,Synaptics 建议用户遵循最佳实践,限制对系统的管理员权限访问,因为具有该权限的人员在无论调试工具启用与否的情况下,都有可能安装恶意软件或其他侵犯隐私的软件。

Synaptics 一直致力于确保其 TouchPad 驱动程序和其他产品符合行业最高安全标准。在当前对安全与隐私高度关注的环境下,Synaptics 对我们的调试工具可能引发的担忧表示歉意。我们已准备好立即解决该问题,并将持续应对其他潜在的安全隐患。

了解更多信息,请查阅我们的 问答文档

如有进一步问题,请联系 David Hurd,邮箱:dhurd@synaptics.com。

合作伙伴更新

我们的合作伙伴 HP 已在其 安全公告 中发布了相关更新,并通过 Microsoft Windows Update 服务提供自动安装的驱动程序更新。

更多详情:

Synaptics TouchPad 驱动程序:潜在的本地信息泄露风险

发布日期:2017 年 12 月 12 日

潜在的安全影响:

潜在的、本地的、机密性丧失。

来源: Synaptics

漏洞摘要

在某些版本的 Synaptics TouchPad 驱动程序中发现了潜在的安全漏洞,可能影响使用该驱动的 TouchPad 型号。要利用此漏洞,需要拥有管理员权限并多次访问系统。Synaptics 及其 OEM 客户均无法通过此问题访问终端用户数据。

参考编号

CVE-2017-17556

背景

CVSS 3.0 基础评分指标

参考编号基础向量(Base Vector)基础评分(Base Score)
CVE-2017-17556AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N1.8

Synaptics Incorporated

新突思(Synaptics)是全球领先的智能感知、处理与连接解决方案提供商,重新定义了人们与设备的交互方式。作为全球最具创新力品牌的信赖伙伴,新突思提供先进技术,包括其 Synaptics Astra™ AI 原生计算平台、Veros™ 无线连接技术及多模态交互界面,推动消费电子、汽车及工业市场的创新发展。 从先进的触控与显示解决方案,到低功耗边缘人工智能处理器,新突思致力于让数字体验更智能、更快速、更直观且更安全。公司总部位于美国加利福尼亚州圣何塞,持续引领智能互联设备的未来发展。

Read more by Synaptics Incorporated
企业文化

 

接收最新消息