繼 Razer 之後，同樣透過 Windows Update 安裝管理軟體的 SteelSeries 也爆出類似的
資安問題
by Chevelle.fu
2021.08.25 09:02PM
前幾天 Razer 爆出由於周邊產品可由微軟的 Windows Update 自動安裝，但由於過程當中
的權限設定問題導致可能會被駭客取得電腦的管理權限加以功能，現在一位香港的安全研
究員勞倫斯表示，同樣循 Windows Update 自動安裝管理軟體的 SteelSeries 也傳出遇到
相同的安全性問題。
SteelSeries 與 Razer 的狀況相似，但作為攻擊手段的步驟略有不同， Razer 是透過安
裝程式可選擇安裝資料夾的步驟選擇其它路徑、再透過右鍵叫出 PowerShell ；而
SteelSeries 雖然在安裝過程無法指定資料夾，卻可透過選擇開啟 SteelSeries 的隱私權
頁面的方式，藉由指定使用 Internet Explorer 瀏覽器，再透過[另存]選擇資料夾，此時
即可依樣畫葫蘆在選擇資料夾路徑時以右鍵執行 PowerShell 。
Razer 與 SteelSeries 的漏洞同樣是需要直接操作電腦才可進行，但也同樣可以藉由偽裝
的設備 ID 操作。
https://www.cool3c.com/article/164608