微软在例行的月度安全更新中发布了一些可选更新,其中修复的漏洞包括2月份发现的MouseJack。
安全公司Bastille在无线鼠标和键盘与USB电子狗通信所使用的协议中发现了漏洞。研究人员发现能从无线设备中窃取数据,并且诱骗USB电子狗将错误指令发送到所连接的计算机上,从而执行命令或者采取恶意行动。
MouseJack攻击可从离使用无线鼠标和键盘的计算机最远30米的地方实施。这些无线鼠标和键盘的厂商包括AmazonBasics、戴尔、Gigabyte、惠普、联想、Logitech和微软。
虽然一些厂商已经采取措施来解决这些问题,不过有些公司还未准备好新固件。几周前,微软为所有使用受MouseJack影响设备的Windows用户发布了一个可选更新。
这个可选更新KB3152550为攻击提供了一个临时的基于软件的修复方案。它针对的是运行Windows 7、8.1和10的计算机,但不是Windows服务器版本。微软在安全公告中指出,该更新会阻止针对以下设备的MouseJack攻击: Sculpt Ergonomic Mouse、Sculpt Mobile Mouse、Wireless Mobile Mouse 3000 v2.0、Wireless Mobile Mouse 3500、Wireless Mobile Mouse 4000、Wireless Mouse 1000、 Wireless Mouse 2000、Wireless Mouse 5000、和Arc Touch Mouse。微软还表示这更新仅会阻止单机无线鼠标设备遭受的攻击,而属于微软桌面工具包的则不起作用。
虽然多数安全专家认为MouseJack攻击性质严重,但这个安全更新只是可选项,因为并非所有的用户都受到了攻击因此没有必要让所有的用户都安装。不过来自Bastille的安全研究人员Marc Newlin表示微软的补丁并不完整。他表示MouseJack攻击依然对微软Sculpt Ergonomic Mouse型号起作用。他还对微软未使用对Windows的控制权为非微软设备提供通用补丁的行为表达了不满。