На прошлой неделе специалисты команды Cisco Talos сообщили о серьезной уязвимости в программном обеспечении ASUS Armoury Crate. Armoury Crate — универсальная утилита, предназначенная для управления параметрами аппаратного обеспечения, такими как профиль энергопотребления в ноутбуках или параметры подсветки клавиатуры. Утилита установлена на большом количестве устройств, соответственно, любая серьезная уязвимость в ней теоретически может быть использована для проведения масштабной кибератаки. А уязвимость CVE-2025-3464 весьма серьезна, она получила оценку 8,8 балла из 10 по шкале CVSS.
При установке Armoury Crate создает в системе виртуальное устройство Asusgio3, которое затем используется для работы с аппаратным обеспечением. Если до него доберется злоумышленник, то потенциально он сможет получить доступ к данным в оперативной памяти, устройствам ввода-вывода и так далее. Для защиты виртуального устройства внутри ПО ASUS реализована система авторизации, которая, как выяснилось, зависит от единственного вшитого ключа и может быть сравнительно легко взломана.
Читать дальше →
Все статьи подряд / Информационная безопасность / Хабр