網(wǎng)曝華碩主板BIOS和UEFI更新機制隱患大，易被劫持

IT之家訊 近日有安全人員曝出華碩電腦更新軟件ASUS LiveUpdate更新機制存在漏洞，該軟件在更新主板BIOS和UEFI固件時未對來源HTTP進行加密，地址全為明文形式，而且安裝過程中也未見對安裝包進行任何驗證，極易被攻擊者劫持利用。

這種“開放性”明文地址可以輕易被攻擊者使用誘騙方式劫持，致使ASUS LiveUpdate程序誤認(rèn)為自己使用了正確的來源，安裝過程中也不會對文件進行驗證，導(dǎo)致系統(tǒng)認(rèn)為安裝了合法更新。這可以導(dǎo)致用戶電腦被攻擊者堂而皇之地黑掉。

目前已經(jīng)有安全人員在Tumblr上公布了針對該漏洞的概念驗證攻擊截圖，華碩方面還未對此進行回應(yīng)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。