华硕电脑预装的更新软件ASUS LiveUpdate被发现通过明文HTTP更新关键的BIOS和UEFI固件 ,而且在安装时还不对内容源进行任何的验证。LiveUpdate客户端应该存在了很长时间,它通过未加密的明文HTTP连接向更新服务器如 liveupdate01.asus.com 或dlcdnet.asus.com发出请求。
攻击者很容易诱骗LiveUpdate相信一个恶意程序是合法的系统更新。已有安全研究人员公布了针对LiveUpdate的概念验证攻击(Tumblr博客)。
N软网微信公众号扫一扫
观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!
支付宝扫一扫
微信扫一扫
赏