banner antec

Descubren vulnerabilidades en el RGB de las placas base de ASUS y Gigabyte y ambas pasan olímpicamente del tema, exponiendo a los usuarios.

Ni tan siquiera las placas base se libran de vulnerabilidades. La compañía SecureAuth, una de las más importantes en el mundo de la ciberseguridad advierte de problemas en los drivers de ASUS y Gigabyte. Esta compañía ha dicho que los drivers de ASUS y Gigabyte para sus placas base tienen graves vulnerabilidades de ‘elevación de privilegios’. Está claro que 2018 ha sido un año nefasto para la privacidad y seguridad de los usuarios a todos los niveles.

ASUS y Gigabyte tendrían graves vulnerabilidades en sus drivers.

En el caso de ASUS los drivers de sus placas base tienen vulnerabilidades en los controladores GLCKIo y Asusgio. Estos dos elementos del software de control de iluminación Aura Sync RGB. La firma de seguridad informo al fabricante de placas base hace más de un año, pero tardo en recibir respuesta. Se necesitaron dos meses y tres correos para que la compañía de placas base solicitara detalles técnicos. En abril se publicó una solución para una de las dos vulnerabilidades y no ha contestado al resto de correos. La verdad es que la compañía lo ha hecho como el culo, vamos, como lo lleva haciendo en los últimos años.

Gigabyte no ha sido mucho más abril. Se pidió que abrieran un ticket de soporte (WTF!). SecureAuth indico que querían mantener la conversación en privado para evitar que atacantes maliciosos explotaran la vulnerabilidad. La respuesta genial ha sido: “Gigabyte es una compañía de hardware y no estamos especializados en software”. Que huevazos.

LEER MÁS
AMD prepara siete tarjetas graficas basadas en AMD Polaris 12 y otras siete basadas en AMD Vega

La compañía de seguridad, pese al desplante, mando un borrador de la vulnerabilidad. El fabricante de placas base dijo que el borrador era vago y solicito un contacto telefónico. Tras dos meses la compañía informo que ‘sus productos no están afectados por las vulnerabilidades informadas”

Está claro que a los dos fabricantes les importa menos que nada la seguridad de los usuarios. SecureAuth ha tenido exceso de paciencia y tras un año de mamoneo, han publicado el código de las vulnerabilidades. Esto permitiría a atacantes maliciosos acceder a los privilegios del sistema y “tomar el control completo del sistema afectado”.

Al final la gilipollez del RGB no terminara resultando caro a los usuarios. Si ninguno de los dos fabricantes sabe de software, porque no contactan con una empresa que sepa. Es más, como tienen el valor de no responder o responder que esa vulnerabilidad no existe. Patética gestión de los dos fabricantes.

Fuente: HOCP

Share.

About Author

Técnico Intermedio en PRL, Técnico Superior en Energías Renovables y en Desarrollo de Productos Electrónicos. Docente de Formación No Reglada. Exigente con el hardware y curioso por naturaleza. Kirchhoff, Maxwell y Thevenin mis maestros y mi pasatiempo el álgebra booleana. Igual te calculo el potencial eólico del viento para un panel fotovoltaico, que te calculo la generación solar de un aerogenerador... o algo así. Stargate es la mejor serie de la historia de la ciencia ficción y lo sabes.