华硕电脑预装的更新软件ASUS LiveUpdate被发现通过明文HTTP更新关键的BIOS和UEFI固件 ,而且在安装时还不对内容源进行任何的验证。LiveUpdate客户端应该存在了很长时间,它通过未加密的明文HTTP连接向更新服务器如liveupdate01.asus.com 或dlcdnet.asus.com发出请求。
攻击者很容易诱骗LiveUpdate相信一个恶意程序是合法的系统更新。已有安全研究人员公布了针对LiveUpdate的概念验证攻击(Tumblr博客)。
本文转自d1net(转载)