Kwetsbaarheden bij drivers voor Asus Aura Sync en Gigabyte Xtreme Engine

Tech-Ones januari 1, 2023
gigabyte extreme engine

Beveiligingsbedrijf SecureAuth heeft ontdekt dat bepaalde drivers van Asus en Gigabyte kwetsbaarheden bevatten. Deze drivers worden geleverd met de tools die door de bedrijven worden verstrekt voor moederborden en videokaarten.

Thank you for reading this post, don't forget to subscribe!

Bij Asus gaat het om de glckio- en Asusgio-drivers die worden geïnstalleerd wanneer een gebruiker Aura Sync aan zijn systeem toevoegt. Aura Sync is het programma van Asus voor het beheren van RGB-verlichting. De kwetsbaarheden worden geïdentificeerd als CVE-2018-18535, CVE-2018-18536 en CVE-2018-18537. De eerste en de laatste kwetsbaarheid stellen een aanvaller in staat om code uit te voeren met verhoogde rechten, terwijl de tweede kwetsbaarheid het mogelijk maakt om gegevens te lezen en te schrijven via de I/O-poorten.

Waar zitten de kwetsbaarheden?

SecureAuth heeft proof-of-concept exploits ontwikkeld om aan te tonen dat de kwetsbaarheden kunnen worden misbruikt, hoewel de gevolgen in deze voorbeelden beperkt zijn tot crashes en herstarts. Het beveiligingsbedrijf heeft Asus al in november vorig jaar op de hoogte gesteld van de kwetsbaarheden. In april bracht Asus een nieuwe versie van Aura Sync uit, maar volgens SecureAuth loste deze versie slechts twee van de drie problemen op.

Bij de drivers gpcidrv- en gdrv van Gigabyte zijn de kwetsbaarheden geïdentificeerd als CVE-2018-19320, CVE-2018-19321, CVE-2018-19322 en CVE-2018-19323. Deze drivers worden meegeleverd met Gigabyte’s App Center, Aorus Graphic Engine, Xtreme Gaming Engine en OC Guru II. De kwetsbaarheden stellen onder andere aanvallers in staat om een systeem over te nemen. Er is een proof-of-concept exploit ontwikkeld die bijvoorbeeld lees- en schrijfoperaties uitvoert op virtueel geheugen, wat resulteert in een systeemcrash. Gigabyte zou in mei 2018 op de hoogte zijn gebracht van de kwetsbaarheden, maar het bedrijf beweerde destijds dat zijn producten niet getroffen waren.

Blijf op de hoogte van het het laatste hardware nieuws en lees hier meer!

Tags: , ,

Meer nieuws

destiny 2 the final shape

Alles wat we weten over ‘Destiny 2: The Final Shape’

Tech-Ones juni 19, 2024

Prince of Persia Sands of Time-remake komt in 2026

Tech-Ones juni 11, 2024
rainbow six siege abonnement

Veel negatieve reacties over nieuw abonnement van Ubisoft’s Rainbow six Siege

Tech-Ones juni 3, 2024

Ook interessant

podcast microfoon

Alles wat je moet weten over het opnemen van een podcast

Tech-Ones juli 13, 2024
links een chrome laptop en rechts een windwos laptop

Wat is het verschil tussen een Windows laptop en een Chromebook?

Tech-Ones juni 28, 2024
Corporate Sustainability Reporting Directive (CSRD)

Wat is CSR en CSRD

Tech-Ones juni 22, 2024
destiny 2 the final shape

Alles wat we weten over ‘Destiny 2: The Final Shape’

Tech-Ones juni 19, 2024
powerbank

Wat is een powerbank?

Tech-Ones juni 19, 2024