网曝华硕主板BIOS和UEFI更新机制隐患大,易被劫持

2016-06-06 14:12IT之家 - 晨风

IT之家讯 近日有安全人员曝出华硕电脑更新软件ASUS LiveUpdate更新机制存在漏洞,该软件在更新主板BIOS和UEFI固件时未对来源HTTP进行加密,地址全为明文形式,而且安装过程中也未见对安装包进行任何验证,极易被攻击者劫持利用。

这种“开放性”明文地址可以轻易被攻击者使用诱骗方式劫持,致使ASUS LiveUpdate程序误认为自己使用了正确的来源,安装过程中也不会对文件进行验证,导致系统认为安装了合法更新。这可以导致用户电脑被攻击者堂而皇之地黑掉。

目前已经有安全人员在Tumblr上公布了针对该漏洞的概念验证攻击截图,华硕方面还未对此进行回应。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享