> > > > Große Sicherheitslücken in Software von ASUS und Gigabyte

Große Sicherheitslücken in Software von ASUS und Gigabyte

Veröffentlicht am: von

gigabyte z390 mainboards logoWer ein Mainboard oder eine Grafikkarte eines beliebigen Herstellers verbaut hat und die entsprechenden Zusatzprogramme für eine Überwachung, ein Overclocking oder aber die LED-Steuerung verwenden möchte, der ist auf die dazugehörigen Anwendungsprogramme des jeweiligen Herstellers angewiesen.

Das auf Softwaresicherheit spezialisierte Unternehmen SecureAuth hat sich die Programme App Center, Aorus Graphics Engine, Xtreme Engine Utility und OC Guru II von Gigabyte sowie die Software mit ähnlichem Funktionsumfang von ASUS angeschaut und ist dabei auf insgesamt sieben gravierende Sicherheitslücken gestoßen. Bei ASUS betroffen ist vor allem die Aura Sync Software.

Die bereits dokumentierten Sicherheitslücken CVE-2018-18537, CVE-2018-18536 und CVE-2018-18535 sind in der Aura Sync Software enthalten und ermöglichen eine nicht authorisierte Codesausführung. Für die erwähnten Lücken gibt es ein Proof of Concept (PoC). Die Lücken bestehen also nicht nur in der Theorie, sondern können bereits aktiv genutzt werden, was mittels des PoC demonstriert wird. Viele der erwähnten Lücken sind weiterhin in den genannten Softwarepaketen enthalten und können ausgenutzt werden.

Dies ist vor allem daher möglich, da die Hersteller die Lücken auch nach Monaten noch nicht geschlossen haben. So hat SecureAuth ab dem November 2017 mit ASUS im Austausch gestanden und der Hersteller sagte wenig später, dass man die Lücken mit einem Update für die Aura Sync Software im April schließen wolle. Das Update im April hat aber keine der drei Lücken geschlossen und erst das Update im Mai adressierte eine von drei Lücken – zwei sind also weiterhin offen.

Die Software von Gigabyte ist ebenfalls von bereits dokumentierten Lücken betroffen. Diese sind als CVE-2018-19320, CVE-2018-19320, CVE-2018-19322 und CVE-2018-19323 bereits dokumentiert und ermöglichen unterschiedliche Ebenen an Zugriffen auf das System, sind aber nur teilweise als schwerwiegend einzustufen. Dennoch geht von ihnen eine Gefahr aus.

Laut Gigabyte sind die eigenen Produkte aber nicht von den erwähnten Sicherheitslücken betroffen bzw. man habe diese geschlossen. SecureAuth spricht weiterhin davon, dass die Lücken bestehen und eine Gefahr für die Systeme bestehe, auf denen die Software installiert ist.

Unklar ist, ob sich SecureAuth auch Software von anderen Hersteller angeschaut hat, denn auch MSI, ZOTAC, Sapphire und viele mehr bieten eigene Software-Pakete an. Wer einen potenziellen Angriffsvektor ausschließen möchte, sollte auf die Installation nicht benötigter Software verzichten. Schwieriger ist dies, wenn eine Installation automatisch und ohne Zutun des Nutzers erfolgt.

Social Links

Ihre Bewertung

Ø Bewertungen: 3

Tags

Kommentare (12)

#3
Registriert seit: 15.01.2015

Kapitän zur See
Beiträge: 3318
Non-News. Denn sind wir mal ehrlich: viele der Leute, die solche Tools dringend brauchen, lassen die vermutlich eh mit Admin-Rechten laufen, weil sonst Funktion xy nicht funktioniert... Und wenn man sich nun an/in einen dieser hochsicheren Gaming-Rechner setzt, es schafft Schadcode lokal mit Userrechten auszuführen – naja... Wobei es mich echt wundert, dass die noch keine "sicheren" Cloud-Features haben – wobei darin Fehler zu findnen etwas ungünstig für eine Firma wäre, deren Geschäftsmodell der Vertrieb von cloudbasierten Sicherheitslösungen ist.
#4
customavatars/avatar197242_1.gif
Registriert seit: 10.10.2013

Oberleutnant zur See
Beiträge: 1442
Zitat
Diese sind als CVE-2018-19320, CVE-2018-19320, CVE-2018-19322 und CVE-2018-19323 bereits dokumentiert
Das müsste stattdessen CVE-2018-19321 heißen.
#5
customavatars/avatar94146_1.gif
Registriert seit: 01.07.2008

Leutnant zur See
Beiträge: 1077
Zitat Powell;26709471
dann bist Du kein RGB Fan :hust:


Lässt sich bei Gigabyte zumindest auch alles im BIOS/EFI einstellen.
Hatte diese Tools 5 Minuten auf dem Rechner. Völlig aufgebläht und unfassbar langsam.

Wenn man das Ryzen Tool und den AMD Grakka Treiber (den hat man ja ehh) benutzt hat man fast alle Funktionen erschlagen und die sind schneller und schöner.
#6
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Korvettenkapitän
Beiträge: 2159
verstehe es auch nicht ganz...
die boardhersteller z.b. gigabyte, haben auf ihren seiten meist immer nur die sogennanten "referenztreiber",
die wenn die boards ganz neu sind, wegen der "stabilität "angeboten werden - meist wird da auch nix mehr groß geändert im laufe der zeit (oder über jahre)
es wird allerdings fast immer darauf hingewiesen, sich aktuelle treiber bei den jeweiligen herstellern direkt runterzuladen,
da diese meist schon aktueller sind als die "referenztreiber"
habe immer bei einem boardwechsel vorher alle treiber bei den herstellern (chipsatz, LAN, sound etc.) runtergeladen und diese dann installiert
insofern sind das wirklich keine großartigen NEWS
#7
customavatars/avatar74869_1.gif
Registriert seit: 14.10.2007

Bootsmann
Beiträge: 621
Einmal mit Profis arbeiten... aber bei Asus hebe ich ohnehin nichts anderes erwartet.
#8
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3843
Bleibt die Frage, ob die Software die Sicherheitslücke hat oder aber schon eine Ebene früher.
#9
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Korvettenkapitän
Beiträge: 2159
...ich muss dazu noch ergänzen, das ich keine fertigen systeme mit der ganzen bloatware meinte wie meistens bei laptops wo alles vorinstalliert ist,
sondern desktops ohne vorinstalliertes betriebssystem - wo man dann komplett neu installiert - und nur mit dem das was man wirklich haben möchte
#10
customavatars/avatar215183_1.gif
Registriert seit: 01.01.2015
€Uropäische Union - Bairischer Sprachraum
Kapitän zur See
Beiträge: 4070
Zitat Powell;26709471
dann bist Du kein RGB Fan :hust:


So ein Müll wird erst gar nicht gekauft, wenn der Schrott dennoch dabei ist wird es einmal dauerhaft deaktiviert.
#11
Registriert seit: 15.09.2009

Kapitänleutnant
Beiträge: 1842
Zitat M.t.B.;26710290
Einmal mit Profis arbeiten... aber bei Asus hebe ich ohnehin nichts anderes erwartet.


+1
Asus bekommt nichts hin.
#12
customavatars/avatar192294_1.gif
Registriert seit: 21.05.2013
in the middle of berlin
Korvettenkapitän
Beiträge: 2159
...und früher war das einer der genialsten anbieter von mainboards etc. (auch vom support)
inzwischen ist asus wirklich nur noch grütze! - am telefon heisst es dann gleich:
"dann müssen sie eine email an den technischen support schreiben" (weil der supporter einem nich helfen kann)
also nix mehr mit support am telefon und ewig auf eine rückantwort per email warten
ASUS 2.01
:vrizz:
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Netflix: Neues Ultra-Abo für 19,99 Euro im Monat (Update)

    Logo von IMAGES/STORIES/2017/NETFLIX_100

    Kunden des Videostreaming-Dienstes Netflix können künftig wohl aus vier verschiedenen Abo-Modellen auswählen. Bislang standen mit „Basis“, „Standard“ und „Premium“ lediglich drei verschiedene Pakete zur Auswahl. Das neue „Ultra“-Paket wird vermutlich 19,99 Euro im Monat kosten... [mehr]

  • Fragmentierung: Steam verliert zunehmend große Blockbuster-Titel

    Logo von IMAGES/STORIES/2017/STEAM

    Lange Zeit war Steam die digitale Vertriebsplattform für PC-Spiele schlechthin, in der man als Kunde einen Großteil seiner gekauften Spieletitel zentral in einer einzigen Bibliothek aufbewahren und zu jeder Zeit erneut herunterladen konnte. Doch die Plattform kränkelt und scheint ihre einstige... [mehr]

  • Client-Update: Steam überarbeitet den Chat

    Logo von IMAGES/STORIES/2017/STEAM

    Nach der großen VAC-Bannwelle in der vergangenen Woche hat Valve ein neues Client-Update für Steam veröffentlicht, das umfangreiche Änderungen am Chat-System der Plattform vornimmt. Im Rahmen eines Open-Beta-Programms hatte Valve die neuen Funktionen seit dem 12. Juni ausführlich getestet, ab... [mehr]

  • NV Scanner API: Automatisches OC nun auch für Pascal-GPUs

    Logo von IMAGES/STORIES/2017/NVIDIA-TITANXP

    Zusammen mit der Turing-Architektur hat NVIDIA eine neue NV Scanner API eingeführt, die ein effizientes und automatisches Overclocking ermöglichen soll. Neben der Tatsache, dass die Software dazu die Spannungs/Takt-Kurve abläuft, soll der neue OC Scanner vor allem durch den synthetischen... [mehr]

  • Nach Update: CCleaner wegen Datensammelwut in der Kritik

    Logo von IMAGES/STORIES/2017/CCLEANER

    Vor allem zu Zeiten von Windows XP und Windows Vista war CCleaner, ein Tool zum Entschlacken des Betriebssystems, äußerst beliebt. Mit dem Update auf Version 4.45 gerät die Software wegen ihrer Datensammelwut nun aber selbst in die Kritik. Datenschützer empfehlen das Update nicht zu... [mehr]

  • Power-Limit-Mods: NVFlash unterstützt nun auch die GeForce-RTX-Karten

    Logo von IMAGES/STORIES/2017/GEFORCERTX2080

    NVIDIA hat für die neuen GeForce-RTX-Karten hinsichtlich der Spannungsversorgung sowie dem Overclocking einige Beschränkungen eingebaut. Die eigenen Founders Editions haben ein Power-Limit von 260 W (GeForce RTX 2080 Ti) und 225 W (GeForce RTX 2080). Per Regler kann dieses um 23 % auf 320 bzw.... [mehr]