Auf PCs und Laptops von Asus installiert der Hersteller eine Wartungssoftware namens MyAsus, die etwa Treiber- und BIOS-Updates herunterladen und installieren kann. Darin können Angreifer eine als hochriskant eingestufte Schwachstelle ausnutzen, um beliebigen Code mit höheren Rechten auszuführen und so verwundbare Systeme zu kompromittieren.
Die Schwachstellenbeschreibung erörtert, dass sich die Rechteausweitungslücke im Wiederherstellungsmechanismus des Asus System Control Interface befindet. "Sie lässt sich auslösen, wenn Angreifer ohne höhere Rechte Dateien ohne hinreichende Prüfung in geschützte Systempfade kopiert, was möglicherweise zur Ausführung beliebiger Dateien als SYSTEM führt", schreibt Asus dort (CVE-2025-59373, CVSS4 8.5, Risiko "hoch").
Eine Sicherheitsmitteilung auf der Asus-Webseite führt weiter aus, dass alle PCs wie Desktops, Laptops, NUCs und All-in-One-PCs aus dem Hause betroffen sind und ein Update auf Asus System Control Interface 3.1.48.0 (x64) respektive 4.2.48.0 (ARM) zum Stopfen des Sicherheitslecks bereitsteht. Die aktuell laufende Fassung zeigt die MyAsus-Software unter "Einstellungen" – "Über" an. Das Update soll über Windows Update erhältlich sein, außerdem hat Asus es auf der Support-Webseite zugänglich gemacht. Laut einem weiteren Support-Artikel sollte MyAsus zudem beim Öffnen auf ein verfügbares Update hinweisen. Betroffene sollten die Aktualisierung zeitnah installieren, um bösartigen Akteuren keine unnötig große Angriffsfläche zu bieten.
Zuletzt fanden sich Ende Juli zwei Sicherheitslücken in der MyAsus-Software. So enthielt sie etwa hartkodierte Zugangsdaten in Form eines Tokens, die Angreifern den Zugriff auf nicht nähere spezifizierte Dienste ermöglichte. Auch da waren All-in-One-PCs, Desktop, NUCs und Laptops von den Schwachstellen in dem MyAsus-Werkzeug betroffen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo