Laut einer Untersuchung des auf IT-Sicherheit spezialisierten Unternehmens SecureAuth sind in den Programmen App Center, Aorus Graphics Engine, Xtreme Engine Utility und OC Guru II von Gigabyte sowie in den Pendanten von ASUS kritische Sicherheitslücken vorhanden. In den unterschiedlichen Tools, die zur Steuerung von Hardware-Komponenten genutzt werden, wurden insgesamt sieben Sicherheitslücken entdeckt. Besonders kritisch ist laut SecureAuth die Software ASUS Aura Sync betroffen.
ASUS lässt sich Zeit
Die unter den Namen CVE-2018-18537, CVE-2018-18536 und CVE-2018-18535 bekannten Sicherheitslücken in der Aura Sync Software erlauben es Angreifern nicht autorisierten Code auszuführen. Das bereits vorhandenen Proof of Concept (POF), also eine Art Demo, zeigt, dass die Sicherheitslücken nicht nur theoretisch vorhanden sind, sondern eine Nutzung in der Praxis durch Kriminelle ebenfalls möglich ist. Die Hersteller haben die Lücken, obwohl sie seit längerem bekannt sind, bisher nicht durch ein entsprechendes Update behoben.
SecureAuth hat ASUS bereits vor mehr als einem Jahr informiert. Obwohl Asus die Lücke seit November 2017 bekannt ist und das Unternehmen ein Update für den April 2018 versprochen hat, existieren zwei der drei Sicherheitslücken in der Aura Sync Software weiterhin. Eine der Lücken wurde von ASUS im Mai 2018 geschlossen. Es wird daher deutlich, dass dem Unternehmen die Sicherheit der eigenen Produkte praktisch egal zu sein scheint. Eine andere Erklärung dafür, dass die Sicherheitslücken auch nach so langer Zeit noch nicht gepatched wurden lässt sich schlicht nicht finden.
Gigabyte mit ähnlicher Updatepolitik
Auch bei Gigabyte gibt es eine ähnlich schlechte Updatepolitik wie bei ASUS. Die ebenfalls seit langem dokumentierten Sicherheitslücken CVE-2018-19320, CVE-2018-19320, CVE-2018-19322 und CVE-2018-19323 werden zwar nicht alle als kritisch eingestuft, sie ermöglichen Angreifern jedoch trotzdem Zugriff auf fremde Systeme. Gigabyte selbst bestreitet, dass ihre Software noch von den Sicherheitslücken angegriffen werden kann. Laut dem Unternehmen ist in den aktuellen Versionen der Software inzwischen ein Update eingespielt worden, dass die beschriebenen Lücken schließen soll. SecureAuth ist jedoch weiterhin der Ansicht, dass die Nutzung der Gigabyte-Software eine Gefahr darstellt.
Ob auch andere Unternehmen von den Sicherheitslücken betroffen sind ist unbekannt. SecureAuth hat keine Informationen dazu veröffentlicht, ob auch die Softwarepakete anderer Hersteller untersucht wurden. Nutzer der betroffenen Software sollten diese deinstallieren, bis die Hersteller entsprechende Updates bereitstellen, um sich keinem unnötigen Risiko auszusetzen.
