2017年12月14日
被新思国际股份有限公司
(修订版1.2)
Synaptics为笔记本电脑产品提供touchpad,包括提供一流的可用性体验所需的软件驱动程序。Synaptics认真对待客户的安全性和隐私权,并通过不断改进努力达到或超越行业最佳实践。
Synaptics了解到据称在我们的触摸板驱动程序中存在“键盘记录程序”的文章。这是不准确的。我们的调试工具在文章中被误称为“键盘记录程序”。
每个笔记本电脑OEM厂商都实现了自定义的TouchPad功能,以实现差异化。我们一直在与这些oem合作,以提高这些驱动程序的质量。为了支持这些要求并提高体验质量,Synaptics在驱动程序中提供了一个自定义调试工具,以协助诊断,调试和调整触摸板。该调试功能是PC OEM厂商所有Synaptics驱动程序中的标准工具,并且当前在生产版本中提供。该调试工具在生产后和出厂前已关闭。Synaptics认为,为了获得最佳的行业实践,它应该删除该调试工具以用于驱动程序的生产版本。Synaptics没有意识到与此调试工具相关的任何安全性违规。
发货后,供应商或用户可能希望通过启用调试工具来进一步调整和增强TouchPad体验。除具有管理员访问权限和特殊开发人员工具的人员以外,无法打开或使用调试工具。启用后,调试工具将以专有二进制格式收集滚动存储器缓冲区的数据,该滚动存储器缓冲区在每次发生电源事件时都会被覆盖或删除。
使用标准的风险评分系统,即通用漏洞评分系统(CVSS),此调试工具在10分中得分大约2,并被归类为低风险。在当今对安全性和隐私日益敏感的情况下,Synaptics将采取预防措施,破坏生产驱动程序的调试工具,以进一步防止该工具被意外使用和恶意使用。
Synaptics与我们的PC客户紧密合作,以更新驱动程序并进行部署以解决安全问题。Synaptics还建议通过限制管理员对任何系统的访问来使用最佳做法,因为具有此访问级别的任何人都可以安装恶意软件或其他反隐私软件,而无论调试工具是打开还是关闭。
Synaptics以确保其TouchPad驱动程序和其他产品符合行业最佳安全标准而感到自豪。在我们高度关注安全性和隐私性的新常态下,Synaptics谨对调试工具可能引起的任何担忧表示歉意。我们有一条途径可以立即解决此问题以及其他出现的安全问题。
欲获得更多信息,请回顾我们的问答环节.
如果您还有其他疑问,请通过dhurd@synaptics.com与大卫·赫德联系
合作伙伴更新
我们的合作伙伴hp已在其安全公告中提供了更新,并且驱动程序更新适用于自动在微软的Windows更新服务上安装。
更多细节:
发布日期: 2017-12-12
潜在的安全影响:
潜在的,局部的,保密性的丧失。
资源:新思国际
脆弱的总结
在某些版本的Synaptics触摸板驱动程序中发现了一个潜在的安全漏洞,可能会影响使用这些驱动程序的触摸板型号。一方需要管理权限和对系统的多次访问才能利用该漏洞。由于这个问题,Synaptics和我们的OEM客户都无法访问最终用户数据。
参考数字
cve - 2017 - 17556
背景
CVSS 3.0基本指标
参考 | 基向量 | 基础分数 |
cve - 2017 - 17556 | AV: L /交流:H /公关:H / UI: R / S: U / C: L /我:N: N | 1.8 |