ASUS закрыла возможность локального повышения привилегий в Armoury Crate

Татьяна Никитина 29 Сентября 2021 - 19:09

...

ASUS закрыла возможность локального повышения привилегий в Armoury Crate

В начале текущего месяца в приложении Armoury Crate для игровых компьютеров с материнками от Republic of Gamers (ROG) была выявлена уязвимость, позволяющая локально повысить привилегии до уровня SYSTEM. Получив уведомление, ASUS залатала дыру в сжатые сроки — за 18 дней — и пообещала выпустить соответствующее обновление до 1 октября.

Многофункциональная программа Armoury Crate производства ASUS работает как центр управления системой, позволяя менять загрузку CPU, GPU и оперативной памяти, энергопотребление, скорость работы вентиляторов, режим работы подсветки и т.п. Найденная уязвимость, по словам автора находки, крылась в Lite Service — службе, предусмотренной комплектацией Armoury Crate.

Как оказалось, некорректная реализация этого сервиса провоцирует атаку подменой DLL. Для этого нужно просто поместить вредоносный файл в папку, используемую приложением Armoury Crate (%PROGRAMDATA%\ASUS\GamingCenterLib).

Доступ к этой папке на запись не требует особых привилегий, изменения может внести самый обычный пользователь. Если после добавления троянской DLL в систему войдет админ, зловредный код исполнится с его привилегиями, так как Armoury Crate не проверяет библиотеки при загрузке. С помощью такого сюрприза можно, например, создать нового пользователя в группе локальных администраторов.

«Такие программы обычно пишут, не думая о безопасности, — поясняет баг-хантер. — Софт для геймеров прежде всего должен быть эффектным, броским. Потому я и решил сосредоточить усилия на этом приложении».

Найденная им уязвимость зарегистрирована под идентификатором CVE-2021-40981; оценку по CVSS она пока не получила. Патч будет включен в состав обновления 4.2.10, которое вот-вот выйдет.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 17:53

Соответствие законодательству РФ Домашние пользователи Государство

К 2030 году у каждого россиянина появится цифровой медицинский профиль

К 2030 году у каждого россиянина должен появиться цифровой медицинский профиль. Об этом заявил глава Минздрава Михаил Мурашко на расширенном заседании коллегии ведомства, где обсуждали итоги работы за 2025 год и планы на 2026-й.

По словам министра, к этому же сроку в стране должны завершить создание единой цифровой платформы для управления здоровьем.

Идея в том, чтобы собрать в одной системе всё, что связано с пациентом: данные о состоянии здоровья, сведения о маршруте лечения, информацию о ресурсах медорганизаций и даже о компетенциях врачей.

Фактически Минздрав продолжает линию на постепенный отказ от бумажного формата. Цифровизация в медицине идёт не первый год, но теперь акцент явно смещается с отдельных сервисов на единую платформу, которая должна связать данные, учреждения и врачей в общий контур.

Параллельно министерство собирается ещё активнее расширять применение искусственного интеллекта. Причём ИИ хотят использовать не только в диагностике и лечении, но и в более рутинных задачах: для составления расписаний, голосового ввода протоколов и запуска чат-ботов для пациентов.

Если всё это действительно дойдёт до полноценной реализации, для пациентов это должно означать более связанную и удобную систему: меньше бумажной волокиты, быстрее доступ к данным и более цельную картину лечения.

Но, как обычно бывает с такими большими цифровыми проектами, главный вопрос будет не только в сроках, но и в том, насколько аккуратно получится собрать всё это в одну работающую систему.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!