華碩被指通過未經(jīng)加密的HTTP更新BIOS和UEFI固件

責(zé)任編輯:editor006

2016-06-06 16:12:31

摘自:solidot

華碩電腦預(yù)裝的更新軟件ASUS LiveUpdate被發(fā)現(xiàn)通過明文HTTP更新關(guān)鍵的BIOS和UEFI固件 ,而且在安裝時(shí)還不對(duì)內(nèi)容源進(jìn)行任何的驗(yàn)證。

華碩電腦預(yù)裝的更新軟件ASUS LiveUpdate被發(fā)現(xiàn)通過明文HTTP更新關(guān)鍵的BIOS和UEFI固件 ,而且在安裝時(shí)還不對(duì)內(nèi)容源進(jìn)行任何的驗(yàn)證。LiveUpdate客戶端應(yīng)該存在了很長時(shí)間,它通過未加密的明文HTTP連接向更新服務(wù)器如liveupdate01.asus.com 或dlcdnet.asus.com發(fā)出請(qǐng)求。

攻擊者很容易誘騙LiveUpdate相信一個(gè)惡意程序是合法的系統(tǒng)更新。已有安全研究人員公布了針對(duì)LiveUpdate的概念驗(yàn)證攻擊(Tumblr博客)。        

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)