华硕主板BIOS和UEFI更新机制

近日有安全人员曝出华硕电脑更新软件ASUS LiveUpdate更新机制存在漏洞，该软件在更新主板BIOS和UEFI固件时未对来源HTTP进行加密，地址全为明文形式，而且安装过程中也未见对安装包进行任何验证

这种“开放性”明文地址可以轻易被利用，致使ASUS LiveUpdate程序误认为自己使用了正确的来源，安装过程中也不会对文件进行验证，导致系统认为安装了合法更新。

目前已经有安全人员在Tumblr上公布了针对该漏洞的概念验证。