Asus сообщила об устранении критической уязвимости в приложении MyASUS, которое предустановлено на всех компьютерах бренда и может затрагивать миллионы пользователей по всему миру. Ошибка позволяла получить повышенные привилегии в системе и представляла опасность как для устройств на x64, так и для ARM-архитектуры.
Опасность в MyASUS
Приложение MyASUS обычно ставится на устройства Asus по умолчанию и предоставляет доступ к обновлениям, инструментам оптимизации и различным сервисным функциям. Специалисты обнаружили, что злоумышленник с ограниченными правами мог воспользоваться недоработкой в механизме восстановления Asus System Control Interface, чтобы получить более высокий уровень доступа. В описании уязвимости отмечается, что запуск эксплойта становился возможным, когда пользователь без привилегий копировал файлы в защищённые системные каталоги без корректной проверки, что могло привести к выполнению произвольного кода от имени SYSTEM.
Ошибка получила идентификатор CVE-2025-59373 и оценку серьезности 8,5 из 10 баллов. Для ее устранения Asus выпустила обновление MyASUS, а пользователям предложено установить патч через Windows Update или загрузить его с официальной страницы Asus Support. Компания уточняет, что обновление распространяется на все персональные компьютеры Asus, включая настольные системы, ноутбуки, NUC-устройства и моноблоки.
Подробности об уязвимости в роутерах Asus
Asus добавляют, что проблема могла возникнуть из-за побочного эффекта в работе функции Samba, который в отдельных случаях приводил к выполнению операций без авторизации. Подробности об этом приводятся в разделе Security Update для ASUS Router Firmware в официальном бюллетене безопасности.
Уязвимость затрагивает все версии ASUS System Control Interface до 3.1.48.0 для x64 и 4.2.48.0 для ARM. Проверить установленную версию можно в приложении MyASUS в разделе Настройки → О программе. Параллельно компания выпустила обновления безопасности и для маршрутизаторов Asus. Патч устраняет ряд ошибок, включая более серьезную — обход механизма аутентификации в AiCloud, который дозволял делать отдельные функции без разрешений.
Asus также предупредила, что устаревшие модели роутеров, снятые с поддержкой, новую прошивку не получат. Для таких устройств компания рекомендует отключить все службы, доступные из интернета, включая AiCloud, удаленный доступ с WAN, порт-форвардинг, DDNS, VPN-сервер, DMZ, Port Triggering и FTP. Напомним, что всего два месяца назад Asus завершила расследование проблемы с периодическими зависаниями ноутбуков серии ROG и исправила ошибку после выхода обновлённой версии BIOS.
Не пропустите интересное!
Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате!
