Arkadiusz OgończykJeden z największych producentów sprzętu komputerowego na świecie – Asus – znalazł się w ogniu krytyki po tym, jak odkryto poważną lukę w jego narzędziu do aktualizacji sterowników, DriverHub. Oprogramowanie, które miało dbać o sprawne działanie komputera, mogło w rzeczywistości otworzyć drogę hakerom do przejęcia pełnej kontroli nad systemem.
Problem ujawnił niezależny badacz bezpieczeństwa znany jako Mr.Bruh, który wykrył, że aplikacja umożliwia zdalne uruchamianie plików z uprawnieniami administratora – bez wiedzy użytkownika. Podatność wynikała z błędów w komunikacji sieciowej i braku weryfikacji źródła danych.
Najbardziej niepokojące było to, że DriverHub działa w tle, startuje razem z systemem i komunikuje się z serwerami Asusa. W praktyce oznaczało to, że osoba podszywająca się pod oficjalny serwer mogła przesłać złośliwe oprogramowanie bez żadnych przeszkód.
Dwie wykryte luki – CVE-2025-3462 i CVE-2025-3463 – uzyskały wysokie noty w systemie oceny zagrożeń CVSS: odpowiednio 8,4 i 9,4 na 10. Choć Asus załatał błąd dopiero po ponad miesiącu, firma nie zaproponowała badaczowi żadnego wynagrodzenia. Zamiast tego – oferowano miejsce w „galerii zasłużonych”.
Eksperci ostrzegają: to poważny przykład na to, jak nawet zaufane, fabryczne oprogramowanie może stać się zagrożeniem. Choć nie ma dowodów na to, że luka została wykorzystana w praktyce, ryzyko było ogromne. Reputacja firmy z pewnością na tym ucierpi.
Jacek Winkler