이 기사는 ASUS의 Armoury Crate 소프트웨어에서 발견된 심각한 보안 취약점인 CVE-2025-3464에 대해 다루고 있으며, 이 취약점의 CVSS 점수는 8.8입니다. 이 취약점은 AsIO3.sys 드라이버의 경쟁 조건에서 발생하여 공격자가 영향을 받는 시스템에서 SYSTEM 권한을 획득할 수 있게 합니다. 이 결함은 5.9.9.0과 6.1.18.0 사이의 모든 Armoury Crate 버전에 영향을 미치며, 이는 수개월에 걸쳐 광범위한 설치를 포함합니다. 악용하려면 로컬 접근이 필요하지만, 현대의 피싱 및 사회 공학 전술로 인해 위험이 증가하고 있습니다.
ASUS는 2월부터 이 취약점에 대해 통보받았으나, 현재까지 활성화된 악용 사례는 없습니다. 사용자들은 Armoury Crate의 최신 버전으로 업데이트할 것을 권장받고 있지만, 이 기사는 RGB 제어 소프트웨어에 커널 수준의 접근 권한을 부여해야 하는 필요성에 대한 우려를 제기합니다. ASUS가 강력한 보안 관행보다 마케팅과 RGB 기능을 우선시한 점을 비판하며, 이러한 소프트웨어를 커널 수준에서 통합하는 것이 상당한 위험을 초래한다고 지적합니다.
이 기사는 Armoury Crate의 취약점이 단순한 기술적 실수가 아니라 보안 아키텍처의 더 깊은 결함을 나타낸다고 결론짓습니다. 하드웨어 제조업체들이 소프트웨어 개발에서 보안을 우선시해야 하며, 이를 통해 악성 소프트웨어 및 기타 악의적인 행위자에 의한 잠재적 악용을 방지해야 한다고 강조합니다.
* 이 글은
igorslab.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.