TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS Armoury Crate & Aura Creator Installer之ROG Live Service - Improper Link Resolution Before File Access

ASUS Armoury Crate & Aura Creator Installer之ROG Live Service - Improper Link Resolution Before File Access

TVN ID	TVN-202201005
CVE ID	CVE-2022-22262
CVSS	7.7 (High) CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
影響產品	ASUS ROG Live Service V1.2.18.0
問題描述	ROG Live Service刪除安裝產生的temp檔案之功能存在Improper Link Resolution Before File Access漏洞，Local端攻擊者不需權限，可以建立未預期的symbolic link指向系統資料夾路徑，因該功能未對欲刪除路徑進行檢查，即可刪除任意系統檔案，可能導致系統服務異常。
解決方法	Update ASUS ROG Live Service version to 1.3.3.0
漏洞通報者	Quella Cosima
公開日期	2022-01-31

ASUS Armoury Crate & Aura Creator Installer之ROG Live Service - Improper Link Resolution Before File Access