---

Программное обеспечение, поставляемое производителями материнских плат вместе со своими продуктами, включая утилиты для разгона, управления вентиляторами и RGB-подсветкой, несёт с собой потенциальную опасность. Независимый аудит показал, что большинство таких утилит отличаются крайне низким качеством кода, который позволяет злоумышленникам проводить атаки на системы, где установлены подобные программы. Различным уязвимостям подвержены программы авторства ASUS и Gigabyte, причём производители материнских плат игнорируют предупреждения исследователей, и не исправляют имеющиеся проблемы.

Работающая в сфере компьютерной безопасности фирма SecureAuth выявила серьёзные проблемы в программном обеспечении ASUS, ASRock и Gigabyte ещё в апреле-мае, и как того требуют принятые нормы, приватно уведомила разработчиков об этом. Однако в 90-дневный срок должным образом отреагировали на неприятные находки только в ASRock. Программное обеспечение ASUS и Gigabyte остаётся подверженным атакам даже сегодня, когда сведения об уязвимостях и способах их использования оказались выложены в открытый доступ.

Проблемы с продуктами ASUS кроются в коде драйверов GLCKIo и Asusgio, которыми пользуется, в частности, утилита Aura Sync v1.07.22 (и более ранних версий). Согласно отчёту SecureAuth, имеющиеся уязвимости делают возможным запуск злоумышленником собственного кода с повышенными привилегиями. Причём, хотя ASUS и обещала исправить ситуацию в новых версиях своего программного обеспечения, на деле этого не произошло. Актуальные версии Aura Sync, доступные на сайте ASUS, продолжают содержать опасные ошибки.

В утилитах компании Gigabyte дыр ещё больше. Различные недостатки были найдены в утилитах Gigabyte App Centre, Aorus Graphics Engine, Extreme Gaming Engine и OC Guru II – все они используют драйверы GPCIDrv и GDrv. Здесь атакующая сторона, имеющая локальный доступ к системе, может вообще получить над ней полный контроль. Реакция же разработчиков Gigabyte на сообщения о проблемах тоже оказалась не совсем адекватной: они полностью отрицают наличие каких-либо уязвимостей и, соответственно, отказываются их устранять.

Зато до обнародования информации об уязвимостях успела исправить своё программное обеспечение компания ASRock. На данный момент у специалистов SecureAuth к утилитам этого производителя нареканий больше нет.

Впрочем, после нахождения проблем масштабов Spectre и Meltdown, которые затронули весь микропроцессорный рынок, подобные сообщения о каких-то уязвимостях в утилитах к материнским платам вряд ли способны вызвать у пользователей панические настроения. Настораживает другое: производители материнских плат оказались крайне закрыты для взаимодействия со специалистами по безопасности и не желают заделывать найденные, подтверждённые и задокументированные бреши. Всё это вызывает вполне обоснованные вопросы относительно принятой у таких производителей культуры разработки программного обеспечения.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила  поведения на сайте.