Updates für Driver Hub: Asus entschuldigt sich für lange Leitung bei Sicherheitslücken

Asus hat sich in der eigenen Community dafür entschuldigt, zuletzt publik gewordene Sicherheitslücken im Asus Driver Hub (CVE-2025-3462 and CVE-2025-3463) so spät geschlossen zu haben. Man habe das Update zwar schon im April fertiggestellt, dessen Verteilung hätte aber viel zu lange gedauert.

Erst in der vergangenen Woche, also fast einen Monat nach dem 17. April, an dem Asus das Update nach eigenen Angaben intern fertiggestellt hatte, wurden Patches bereitgestellt. Seitdem sind beide Lücken geschlossen. Informiert worden war Asus über die Lücken schon „früher im Jahr“.

These issues were addressed with a comprehensive update released on April 17th, 2025, but the length of time it to took develop and deploy this update was less than ideal. We should have gotten this update out to our users more quickly, and we apologize for the delay. Currently, we're conducting an internal review of our cross-team communication and vulnerability response strategies so that we can issue vital security fixes in a timely manner.

Asus Driver Hub ist ein Tool, das Inhaber von Asus-Mainboards installieren können, um zahlreiche Treiber auf dem System aktuell zu halten, was auch der Systemsicherheit dient.

Die beiden Sicherheitslücken ermöglichten es, Nutzer dazu zu bringen, über eine vermeintlich legitime Domain (z.B. driverhub.asus.com.ichbinnichtecht.com) beliebige Dateien von dieser Domain zu laden und über den Driver Hub auszuführen.