(修订版1.2)

Synaptics为笔记本PC产品提供TouchPads，包括提供一流的可用性体验所需的软件驱动程序。 Synaptics认真对待客户的安全性和隐私权，并通过不断改进努力达到或超越行业最佳实践。

Synaptics了解到据称在我们的触摸板驱动程序中存在“键盘记录程序”的文章。这是不准确的。我们的调试工具在文章中被误称为“键盘记录程序”。

每个笔记本电脑OEM厂商都实现了自定义的TouchPad功能，以实现差异化。我们一直在与这些OEM合作，以提高这些驱动程序的质量。为了支持这些要求并提高体验质量，Synaptics在驱动程序中提供了一个自定义调试工具，以协助诊断，调试和调整TouchPad。该调试功能是PC OEM厂商所有Synaptics驱动程序中的标准工具，并且当前在生产版本中提供。该调试工具在生产后和出厂前已关闭。 Synaptics认为，为了获得最佳的行业实践，它应该删除该调试工具以用于驱动程序的生产版本。 Synaptics没有意识到与此调试工具相关的任何安全性违规。

发货后，供应商或用户可能希望通过启用调试工具来进一步调整和增强TouchPad体验。除具有管理员访问权限和特殊开发人员工具的人员以外，无法打开或使用调试工具。启用后，调试工具将以专有二进制格式收集滚动存储器缓冲区的数据，该滚动存储器缓冲区在每次发生电源事件时都会被覆盖或删除。

使用标准的风险评分系统，即通用漏洞评分系统（CVSS），此调试工具在10分中得分大约2，并被归类为低风险。在当今对安全性和隐私日益敏感的情况下，Synaptics将采取预防措施，破坏生产驱动程序的调试工具，以进一步防止该工具被意外使用和恶意使用。

Synaptics与我们的PC客户紧密合作，以更新驱动程序并进行部署以解决安全问题。 Synaptics还建议通过限制管理员对任何系统的访问来使用最佳做法，因为具有此访问级别的任何人都可以安装恶意软件或其他反隐私软件，而无论调试工具是打开还是关闭。

Synaptics以确保其TouchPad驱动程序和其他产品符合行业最佳安全标准而感到自豪。在我们高度关注安全性和隐私性的新常态下，Synaptics谨对调试工具可能引起的任何担忧表示歉意。我们有一条途径可以立即解决此问题以及其他出现的安全问题。

欲获得更多信息, please review our Q&A.

如果您还有其他疑问，请通过dhurd@synaptics.com与David Hurd联系

合作伙伴更新

我们的合作伙伴HP已在其安全公告中提供了更新，并且驱动程序更新适用于自动在Microsoft的Windows Update服务上安装。

 

更多细节：

Synaptics触摸板驱动程序：潜在的，局部的，机密的

发布日期: 2017-12-12

潜在的安全影响:

潜在的，局部的，保密性的丧失。

 

资源： Synaptics

 

VULNERABILITY SUMMARY

A potential security vulnerability has been identified with certain versions of Synaptics touchpad drivers that can impact TouchPad models that use those drivers. A party would need administrative privileges and multiple accesses to the system in order to take advantage of the vulnerability. Neither Synaptics nor our OEM customers have access to end-user data as a result of this issue.

 

Reference Numbers

CVE-2017-17556

 

BACKGROUND

CVSS 3.0 Base Metrics

Reference	Base Vector	Base Score
CVE-2017-17556	AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N	1.8