Asus закликає якнайшвидше оновити ПЗ комп’ютерів та роутерів через небезпечну вразливість

Asus исправила критическую уязвимость повышения привилегий в программном обеспечении MyASUS, которое установлено по умолчанию на всех компьютерах компании и потенциально влияет на миллионы пользователей по всему миру.

Приложение MyASUS поставляется предустановленным на устройствах Asus и предоставляет пользователям быстрый доступ к системным обновлениям, оптимизации производительности и другим инструментам поддержки. Было обнаружено, что злоумышленники с низким уровнем доступа могут воспользоваться ошибкой в программе, чтобы повысить свои привилегии в системе, и это касается как ARM-, так и x64-систем. Уязвимость локального повышения привилегий была найдена в механизме восстановления Asus System Control Interface.

«Он может быть активирован, когда пользователь без привилегий копирует файлы без надлежащей проверки в защищенные системные каталоги, что потенциально может привести к выполнению произвольных файлов с правами SYSTEM», — объясняется в описании.

Ошибка получила обозначение CVE-2025-59373 и рейтинг серьезности 8,5 из 10.
Asus выпустила патч для MyASUS и призывает пользователей обязательно установить обновление через Windows Update или загрузить пакет непосредственно с сайта Asus Support. Как отметили в Asus, это обновление применяется ко всем персональным компьютерам, включая десктопы, ноутбуки, NUC и All-in-One ПК.

«Эта уязвимость может вызвать непреднамеренный побочный эффект функции Samba, что потенциально позволяет выполнение определенных функций без авторизации. Смотрите раздел Security Update for ASUS Router Firmware в Security Advisory», — добавляют Asus Support.

Уязвимость затрагивает все версии ASUS System Control Interface до 3.1.48.0 (x64) и 4.2.48.0 (ARM). Версию можно проверить, открыв MyASUS, перейдя в Настройки → О программе. Кроме этого, Asus выпустила обновление безопасности для прошивки маршрутизаторов Asus и призывает пользователей немедленно обновить свои роутеры. Патч устраняет несколько уязвимостей, самая серьезная из которых — обход аутентификации в AiCloud, что позволяет выполнять отдельные функции без надлежащих разрешений.

Компания также предупреждает, что старые модели, которые сняты с поддержки, не получат новую прошивку. Asus рекомендует отключить все интернет-доступные службы на старых роутерах, в частности AiCloud, удаленный доступ с WAN, порт-форвардинг, DDNS, VPN-сервер, DMZ, Port Triggering и FTP. Напоминаем, что всего 2 месяца назад Asus завершила долгое расследование относительно постоянных фризов ноутбуков серии ROG и наконец-то исправила баг выпуском обновленной версии BIOS.

Источник: CyberNews.com