华硕被指通过未经加密的HTTP更新BIOS和UEFI固件

华硕电脑预装的更新软件ASUS LiveUpdate被发现通过明文HTTP更新关键的BIOS和UEFI固件 ,而且在安装时还不对内容源进行任何的验证。LiveUpdate客户端应该存在了很长时间,它通过未加密的明文HTTP连接向更新服务器如 liveupdate01.asus.com 或dlcdnet.asus.com发出请求。

华硕被指通过未经加密的HTTP更新BIOS和UEFI固件的照片 - 1

攻击者很容易诱骗LiveUpdate相信一个恶意程序是合法的系统更新。已有安全研究人员公布了针对LiveUpdate的概念验证攻击(Tumblr博客)。

华硕被指通过未经加密的HTTP更新BIOS和UEFI固件的照片 - 2

华硕被指通过未经加密的HTTP更新BIOS和UEFI固件的照片 - 3

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: