Rechteausweitungslücke in MyAsus

In dem Support-Tool MyAsus für Rechner des Herstellers Asus klafft eine als hochriskant bewertete Sicherheitslücke. Sie ermöglicht Angreifern, dem Werkzeug beliebigen Code unterzujubeln, der mit den Rechten von MyAsus zur Ausführung gelangt – womit sie also ihre Rechte im System ausweiten können.

In der Schwachstellenbeschreibung erklärt Asus, dass eine Schwachstelle im „AsusSoftwareManagerAgent“ des Typs „nicht kontrollierter DLL-Ladepfad“ vorliegt. Lokale Angreifer können die App dazu bringen, eine manipulierte DLL aus einem von den Angreifern kontrollierten Ort zu laden, was zur Ausführung von beliebigem Code führt (CVE-2025-12793, CVSS4 8.5, Risiko „hoch“). Das Support-Werkzeug MyAsus ist auf diversen Rechnern von Asus standardmäßig vorinstalliert.

Asus hat auf der Webseite mit Sicherheitsmitteilungen auch den neuen Eintrag für MyAsus ergänzt. Demnach steht MyAsus für alle Asus-PCs von Desktops, Laptops, über NUCs bis hin zu All-in-One-PCs zum Download bereit. Die Fehlerkorrekturen sind ab Version 4.0.52.0 für x64-CPUs und 4.2.50.0 für ARM-Prozessoren in MyAsus enthalten.

Zügige Aktualisierung empfohlen

Die aktuelle Version lässt sich auf der Asus-Webseite herunterladen. Die verweist jedoch auf den Microsoft-Store, der die Installation dann auch passend zur Plattform vornimmt und über den Aktualisierungen verteilt werden können. Asus erklärt zudem in der Sicherheitsmitteilung, dass das Öffnen des MyAsus-Tools mit aktiver Internetverbindung zum Anbieten der Aktualisierung führen sollte.

Bereits Ende November fiel Asus mit einer hochriskanten Sicherheitslücke in MyAsus auf. Auch da handelte es sich um eine Schwachstelle, die Angreifern das Ausweiten ihrer Rechte im System ermöglicht. Sie hat sich jedoch im Wiederherstellungsmechanismus des Asus System Control Interface befunden.

(dmk)