TAIPEI / MÜNCHEN (IT BOLTWISE) – ASUS hat kürzlich zwei kritische Sicherheitslücken in seiner Software DriverHub geschlossen, die potenziell für Remote Code Execution (RCE) ausgenutzt werden könnten. Diese Schwachstellen, die von einem Sicherheitsforscher entdeckt wurden, hätten Angreifern die Möglichkeit gegeben, über manipulierte HTTP-Anfragen und .ini-Dateien die Kontrolle über betroffene Systeme zu erlangen.
ASUS hat kürzlich Updates veröffentlicht, um zwei bedeutende Sicherheitslücken in der Software DriverHub zu schließen. Diese Schwachstellen hätten es Angreifern ermöglicht, die Software für Remote Code Execution (RCE) auszunutzen. DriverHub ist ein Tool, das entwickelt wurde, um automatisch das Mainboard-Modell eines Computers zu erkennen und die notwendigen Treiber-Updates anzuzeigen. Dabei kommuniziert es mit einer speziellen Website, die unter “driverhub.asus[.]com” gehostet wird.
Die identifizierten Schwachstellen, die als CVE-2025-3462 und CVE-2025-3463 bekannt sind, wurden mit hohen CVSS-Werten von 8,4 und 9,4 bewertet. Die erste Schwachstelle betrifft einen Fehler bei der Ursprungsvalidierung, der es unautorisierten Quellen ermöglichen könnte, mit den Funktionen der Software über manipulierte HTTP-Anfragen zu interagieren. Die zweite Schwachstelle betrifft eine unzureichende Zertifikatsvalidierung, die es unzuverlässigen Quellen erlauben könnte, das Systemverhalten zu beeinflussen.
Der Sicherheitsforscher MrBruh, der für die Entdeckung und Meldung dieser Schwachstellen verantwortlich ist, erklärte, dass diese im Rahmen eines One-Click-Angriffs ausgenutzt werden könnten. Der Angriff erfordert, dass ein ahnungsloser Benutzer dazu gebracht wird, eine Subdomain von driverhub.asus[.]com zu besuchen. Anschließend könnte die UpdateApp-Schnittstelle von DriverHub genutzt werden, um eine legitime Version der “AsusSetup.exe”-Datei auszuführen, die so konfiguriert ist, dass sie jede Datei von der gefälschten Domain ausführt.
Der Angriff erfordert lediglich, dass der Angreifer eine Domain erstellt und drei Dateien hostet: die bösartige Nutzlast, eine veränderte Version der AsusSetup.ini mit der Eigenschaft “SilentInstallRun” auf die bösartige Binärdatei gesetzt, und AsusSetup.exe, die dann die Eigenschaft nutzt, um die Nutzlast auszuführen. Nach einer verantwortungsvollen Offenlegung am 8. April 2025 wurden die Probleme von ASUS am 9. Mai behoben. Es gibt keine Hinweise darauf, dass die Schwachstellen in freier Wildbahn ausgenutzt wurden.
ASUS hat in einem Bulletin erklärt, dass dieses Update wichtige Sicherheitsaktualisierungen enthält und dringend empfohlen wird, die ASUS DriverHub-Installation auf die neueste Version zu aktualisieren. Das neueste Software-Update kann durch Öffnen von ASUS DriverHub und Klicken auf die Schaltfläche ‘Jetzt aktualisieren’ abgerufen werden.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Service Development Professional - AI Infrastructure IPAI (m/w/d)
Laboringenieur*in im Bereich Virtuelle Infrastruktur für Big Data und Künstliche Intelligenz - Kennziffer: 418a/2024 I
Anwendungsberater KI m/w/d
Gruppenleiter*in Künstliche Intelligenz
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "ASUS schließt Sicherheitslücken in DriverHub: RCE-Schwachstellen behoben" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "ASUS schließt Sicherheitslücken in DriverHub: RCE-Schwachstellen behoben" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »ASUS schließt Sicherheitslücken in DriverHub: RCE-Schwachstellen behoben« bei Google Deutschland suchen, bei Bing oder Google News!