当前位置: 首页 > news >正文

华硕内置恶意代码漏洞遭活跃利用,被CISA列入高危漏洞目录

美国网络安全与基础设施安全局(CISA)已将华硕某新型漏洞纳入已知被利用漏洞(KEV)目录,表明受影响用户和组织面临紧急风险。

漏洞详情

该漏洞编号为(CVE-2025-59374),影响华硕Live Update工具。该工具通常用于向华硕设备推送固件和软件更新。安全公告显示,攻击者通过供应链攻击植入未授权修改后,特定版本的华硕Live Update客户端被分发了内置恶意代码的版本。

这些被篡改的版本会导致符合特定条件的设备执行非预期操作。

属性详情
CVE编号CVE-2025-59374
受影响产品华硕Live Update
漏洞类型内置恶意代码
相关CWECWE-506
攻击向量供应链攻击
影响范围设备异常操作、潜在恶意软件部署
产品状态已终止支持(EoL/EoS)

风险分析

攻击者可能利用该漏洞获取设备控制权、部署恶意软件或进一步渗透受害环境。虽然具体触发条件尚未公开,但定制化的攻击逻辑表明这可能是一场针对性较强的高级攻击活动。

CISA指出受影响产品可能已终止支持(EoL/EoS),这类产品通常不再接收安全更新,从而加剧了风险。该漏洞关联CWE-506(内置恶意代码)分类,指攻击者将恶意内容植入合法软件的威胁场景。此类供应链攻击危害性极高,因其滥用用户对厂商更新机制的信任,可快速扩散至大量系统。

应对措施

目前尚不清楚(CVE-2025-59374)是否被用于勒索软件攻击,但列入KEV目录意味着已观测到实际攻击案例。CISA要求美国联邦文职机构在2026年1月7日前实施厂商修复方案或停用受影响产品,并强烈建议其他组织采取相同措施。

安全团队应立即检查环境中部署的华硕Live Update工具,应用所有可用的厂商补丁。若无法实施缓解措施,应尽快卸载或更换受影响软件。

http://www.cnnetsun.cn/news/178838.html

相关文章:

  • 数智时代,openGauss Summit 2025即将发布哪些技术创新破局
  • LangFlow CI/CD流水线搭建实践
  • 论指针运算
  • 面试官:多模态 Transformer 如何处理不同模态的序列长度差异?
  • LangFlow结合RAG架构构建企业知识库问答
  • 480万人才缺口!网络安全,一个被低估的“金饭碗”!
  • Web 安全入门:从 OWASP Top 10 到常见漏洞,从零基础入门到精通,收藏这一篇就够了!_web top10
  • TOSHIBA 2SA1162-GR,LF SOT-23-3 三极管(BJT)
  • 【MWORKS使用技巧84】Sysplorer中使用Constants组件时,如何产生向量信号?
  • 掌握这4种异常处理模式,轻松应对Open-AutoGLM解密崩溃危机
  • 如何在30分钟内完成Open-AutoGLM加密传输配置?高效运维必看
  • NetSupport Manager 路径遍历漏洞 (CVE-2025-34181) 技术深度解析
  • Electron 实战项目
  • Open-AutoGLM解密异常频发?(企业级容错架构设计实践)
  • 你还在用传统加密?Open-AutoGLM的这4个优势已彻底改写行业规则
  • 企业级城市垃圾分类管理系统管理系统源码|SpringBoot+Vue+MyBatis架构+MySQL数据库【完整版】
  • 为什么你的系统总被Open-AutoGLM误封?一文看懂白名单配置核心要点
  • 【数据安全突围战】:Open-AutoGLM为何成为2024年最值得掌握的加密技术?
  • 使用机器学习简化机构沟通,提升可读性与包容性
  • LangFlow降低AI开发门槛:非技术人员也能构建智能应用
  • LangFlow与LangChain协同工作原理深度剖析
  • 16.2 对齐方法论:FineTune与RAG两大技术路径
  • 16.3 微调技术盘点:产品经理需要了解的核心方法
  • 汇编语言全接触-41.虚拟设备驱动程序初步
  • LangFlow能否实现专利文献摘要提取?科研情报处理
  • 告别熬夜爆肝:百考通AI如何用源码宝库与智能答辩重塑学习体验
  • AI赋能科研:百考通如何让学术起步更高效
  • LangFlow开源生态现状及未来发展方向预测
  • Open-AutoGLM自动化卡顿元凶分析(弹窗阻断深度解析与绕行策略)
  • 揭秘Open-AutoGLM运行时崩溃:为何弹窗错误始终无法捕获?