Уязвимость «Загрузка кода без проверки целостности» в модулях обновления в ASUS Member Center (华硕大厅) позволяет локальному пользователю добиться повышения привилегий до администратора посредством использования времени проверки времени использования (TOC-TOU) во время процесса обновления, когда неожиданная полезная нагрузка заменяется законной сразу после загрузки и впоследствии выполняется с административными привилегиями с согласия пользователя.
Дополнительную информацию см. в разделе «Обновление безопасности для членского центра ASUS» в рекомендациях по безопасности ASUS.
Показать оригинальное описание (EN)
A Download of Code Without Integrity Check vulnerability in the update modules in ASUS Member Center(华硕大厅) allows a local user to achieve privilege escalation to Administrator via exploitation of a Time-of-check Time-of-use (TOC-TOU) during the update process, where an unexpected payload is substituted for a legitimate one immediately after download, and subsequently executed with administrative privileges upon user consent. Refer to the 'Security Update for ASUS Member Center' section on the ASUS Security Advisory for more information.
Характеристики атаки
Последствия
Строка CVSS v4.0