news 2026/7/17 1:31:09

华硕内置恶意代码漏洞遭活跃利用,被CISA列入高危漏洞目录

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
华硕内置恶意代码漏洞遭活跃利用,被CISA列入高危漏洞目录

美国网络安全与基础设施安全局(CISA)已将华硕某新型漏洞纳入已知被利用漏洞(KEV)目录,表明受影响用户和组织面临紧急风险。

漏洞详情

该漏洞编号为(CVE-2025-59374),影响华硕Live Update工具。该工具通常用于向华硕设备推送固件和软件更新。安全公告显示,攻击者通过供应链攻击植入未授权修改后,特定版本的华硕Live Update客户端被分发了内置恶意代码的版本。

这些被篡改的版本会导致符合特定条件的设备执行非预期操作。

属性详情
CVE编号CVE-2025-59374
受影响产品华硕Live Update
漏洞类型内置恶意代码
相关CWECWE-506
攻击向量供应链攻击
影响范围设备异常操作、潜在恶意软件部署
产品状态已终止支持(EoL/EoS)

风险分析

攻击者可能利用该漏洞获取设备控制权、部署恶意软件或进一步渗透受害环境。虽然具体触发条件尚未公开,但定制化的攻击逻辑表明这可能是一场针对性较强的高级攻击活动。

CISA指出受影响产品可能已终止支持(EoL/EoS),这类产品通常不再接收安全更新,从而加剧了风险。该漏洞关联CWE-506(内置恶意代码)分类,指攻击者将恶意内容植入合法软件的威胁场景。此类供应链攻击危害性极高,因其滥用用户对厂商更新机制的信任,可快速扩散至大量系统。

应对措施

目前尚不清楚(CVE-2025-59374)是否被用于勒索软件攻击,但列入KEV目录意味着已观测到实际攻击案例。CISA要求美国联邦文职机构在2026年1月7日前实施厂商修复方案或停用受影响产品,并强烈建议其他组织采取相同措施。

安全团队应立即检查环境中部署的华硕Live Update工具,应用所有可用的厂商补丁。若无法实施缓解措施,应尽快卸载或更换受影响软件。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/16 19:47:46

【Open-AutoGLM安全加固必读】:为什么90%的系统在TLS版本降级时会崩溃?

第一章:Open-AutoGLM安全加固必读在部署和运维 Open-AutoGLM 框架时,安全加固是保障系统稳定与数据隐私的核心环节。由于该框架常用于自动化生成式任务,暴露在公网环境中可能面临注入攻击、未授权访问和模型滥用等风险。因此,必须…

作者头像 李华
网站建设 2026/7/16 18:26:11

LangFlow反向代理Nginx配置模板分享

LangFlow 反向代理 Nginx 配置模板分享 在构建 AI 应用的今天,越来越多开发者选择使用可视化工具来加速原型开发。LangFlow 就是这样一个让人眼前一亮的开源项目——它让非专业程序员也能通过拖拽方式搭建复杂的 LangChain 工作流。但问题也随之而来:本地…

作者头像 李华
网站建设 2026/7/16 8:24:57

揭秘Open-AutoGLM访问日志配置:如何实现合规且高效的日志留存?

第一章:Open-AutoGLM访问日志留存的核心意义在构建和维护大型语言模型服务系统时,Open-AutoGLM作为自动化推理与生成逻辑管理的核心组件,其访问日志的完整留存不仅是系统可观测性的基础保障,更是安全审计、性能优化与故障追溯的关…

作者头像 李华
网站建设 2026/7/16 8:43:52

企业级测试管理工具的应用与集成研究

在敏捷开发与DevOps成为主流的今天,企业级测试管理工具已成为保障软件质量的核心枢纽。根据Gartner 2024年报告,全球超过78%的企业正在使用专业化测试管理平台协调测试活动。本文旨在系统分析测试管理工具在需求关联、用例设计、缺陷追踪等关键场景的应用…

作者头像 李华
网站建设 2026/7/16 20:47:14

高效测试之路:主流测试工具选型指南

随着敏捷开发和DevOps实践的普及,软件测试工具链的选择已成为影响项目质量与效率的关键因素。面对市场上众多测试工具,测试团队往往陷入选择困境。本文将从功能测试、性能测试、自动化测试及专项测试四个维度,对当前主流工具进行全景式对比分…

作者头像 李华