Synaptics TouchPad驱动程序-安全简介

2017年12月14日

被新思国际股份有限公司

(1.2修改)

Synaptics为笔记本电脑产品提供touchpad，包括提供一流可用性体验所需的软件驱动程序。Synaptics非常重视客户的安全和隐私，我们努力通过持续改进达到或超越行业最佳实践。

Synaptics已经注意到有文章声称我们的触摸板驱动程序中有一个“键盘记录器”。这是不准确的。我们的调试工具在文章中被错误地描述为“键盘记录器”。

每个笔记本OEM都实现了定制的TouchPad功能，以提供差异化。我们一直在与这些oem合作，以提高这些驱动器的质量。为了支持这些需求并提高体验的质量，Synaptics在驱动程序中提供了一个定制调试工具，以协助TouchPad的诊断、调试和调优。该调试功能是所有Synaptics驱动程序的标准工具，适用于PC整车厂，目前已出现在生产版本中。此调试工具在生产完成后和发货前被关闭。Synaptics现在认为，为了最佳的行业实践，应该为生产版本的驱动程序删除这个调试工具。Synaptics不知道与此调试工具相关的任何安全漏洞。

发货后，供应商或用户可能希望通过启用调试工具进一步优化和增强TouchPad体验。调试工具只能由具有Admin权限和特殊开发人员工具的人员打开或使用。当打开时，调试工具以专用的二进制格式为滚动内存缓冲区收集数据，每次发生电源事件时，该缓冲区都会被覆盖或删除。

使用标准化的风险评分系统，通用漏洞评分系统(CVSS)，该调试工具的得分大约为2分(满分10分)，并被归类为低风险。在对安全和隐私高度敏感的今天，Synaptics将采取预防性措施，为生产驱动程序去除调试工具的特性，以进一步防止该工具被以无意和恶意的方式使用。

Synaptics正在与我们的PC客户密切合作，更新驱动程序，并部署它们以解决安全问题。Synaptics还建议使用最佳实践，限制管理员对任何系统的访问权限，因为任何具有这种访问权限的人都可能安装恶意软件或其他反隐私软件，无论调试工具是打开还是关闭。

Synaptics以确保其TouchPad驱动程序和其他产品达到业界最佳的安全标准为傲。在我们高度关注安全和隐私的新常态下，Synaptics为我们的调试工具可能引起的任何担忧道歉。我们有办法立即解决这个问题，如果出现其他安全问题，我们也有办法解决。

有关更多信息,请审阅我们的问答．

如果您有进一步的问题，请通过dhurd@synaptics.com联系David Hurd。

合作伙伴的更新

我们的合作伙伴惠普已经在他们的安全公告和驱动程序更新可在微软的Windows更新服务上自动安装。

更多细节:

Synaptics触控板驱动:潜在的，本地的，机密性的丧失

发布日期: 2017-12-12

潜在的安全影响:

潜在的，局部的，机密性的丧失。

来源:新思国际

脆弱的总结

Synaptics的某些版本的触摸板驱动程序存在一个潜在的安全漏洞，可能会影响使用这些驱动程序的触摸板模型。一方将需要管理特权和对系统的多次访问，以便利用该漏洞。由于这个问题，Synaptics和我们的OEM客户都无法访问最终用户数据。

参考数字

cve - 2017 - 17556

背景

CVSS 3.0基础度量

参考	基向量	基础分数
cve - 2017 - 17556	AV: L /交流:H /公关:H / UI: R / S: U / C: L /我:N: N	1．8