Asus aura sinhronizācija un gigabaitu xtreme programmatūra satur ievainojamības

Drošības uzņēmums ar nosaukumu SecureAuth ir dalījies ziņās, ka vairākos Asus un Gigabyte draiveros ir ievainojamības. Draiveri nāk ar rīkiem, kurus uzņēmumi nodrošina mātesplatēm un grafiskajām kartēm, tie ir draiveri un utilītas, kas saistītas ar Aura Sync un Gigabyte Xtreme.

Asus Aura Sync un Gigabyte Xtreme draiveriem un rīkiem ir drošības ievainojamības

Kopumā ir septiņi ievainojamības, kas ietekmē piecus programmatūras produktus, un pētnieki katram no tiem uzrakstīja ieguvumu. Daudzi no viņiem varēja turpināt bez uzraudzības. Divus no neaizsargātajiem draiveriem ir instalējusi programmatūra ASUS Aura Sync (v1.07.22 un vecāka versija).

Ievainojamības var izraisīt privilēģiju saasināšanos, izmantojot programmatūru, piemēram, Gigabyte App Center (v1.05.21 un jaunākas), AORUS Graphics Engine (v1.33 un jaunākas), XTREME Engine utilītu (v1.25 un vecāku) un OC Guru. II (v2.08), tas viss attiecas uz gigabaitu produktiem. Ievainojamības ir apzīmētas ar CVE-2018-18535, CVE-2018-18536 un CVE-2018-1853. Pirmais un pēdējais ļauj izpildīt kodu ar lielām tiesībām, otrais var novest pie datu lasīšanas un rakstīšanas caur I / O portiem.

ASUS tika informēta par šīm ievainojamībām pagājušā gada novembrī. Aprīlī Asus izlaida jaunu Aura Sync versiju, taču saskaņā ar SecureAuth tā novērsa tikai divas no trim problēmām.

Gigabaitu gadījumā tas ir daudz nopietnāk, par tiem būtu ticis paziņots, taču uzņēmums apliecināja, ka tā produktus ievainojamības nav skārušas, pretrunā ar SecureAuth. Tagad, kad šīs drošības ievainojamības ir publiskotas, Gigabaits var reaģēt uz šīm ziņotajām drošības problēmām.

Vai Gigabaitu lietotnes ir patiešām drošas? Mēs nevaram pateikt droši. Gigabaita saka vienu lietu, un SecureAuth saka citu. Visvairāk ieteicams pirms katra instalēšanas mūsu sistēmā gaidīt jaunu atjauninājumu.

Guru3D fonts