网曝华硕主板BIOS和UEFI更新机制隐患大，易被劫持

IT之家讯 近日有安全人员曝出华硕电脑更新软件ASUS LiveUpdate更新机制存在漏洞，该软件在更新主板BIOS和UEFI固件时未对来源HTTP进行加密，地址全为明文形式，而且安装过程中也未见对安装包进行任何验证，极易被攻击者劫持利用。

这种“开放性”明文地址可以轻易被攻击者使用诱骗方式劫持，致使ASUS LiveUpdate程序误认为自己使用了正确的来源，安装过程中也不会对文件进行验证，导致系统认为安装了合法更新。这可以导致用户电脑被攻击者堂而皇之地黑掉。

目前已经有安全人员在Tumblr上公布了针对该漏洞的概念验证攻击截图，华硕方面还未对此进行回应。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。