“系统安全绝非儿戏。”我一边暗自告诫自己,一边将BIOS更新计划又推迟了一个月。尽管我习惯保留物理介质备份,也从不点击可疑链接,但这绝不意味着我的设备固若金汤。系统漏洞往往潜伏在人们依赖的更新工具中——而华硕(Asus)近期在这方面似乎格外不走运。
研究人员在华硕Armoury Crate(奥创智控中心)中发现了一个新漏洞。这款预装在华硕ROG Flow Z13笔记本、ROG Ally X掌机等设备中的一体化软件枢纽,通常用于控制各类外设和组件。该漏洞被美国国家标准与技术研究院(NIST)列为CVE-2025-3464,攻击者可借此获取Windows系统低级权限,进而威胁操作系统安全。由于奥创智控中心普及率高且漏洞可能产生滚雪球式影响,其严重程度评分高达8.4(满分10分)。
思科塔洛斯(Cisco Talos)研究员马辛·“冰墙”·诺加(Marcin “Icewall” Noga)最初在Armoury Crate 5.9.13.0版本中发现该漏洞,华硕随后发布的安全公告显示,V5.9.9.0至V6.1.18.0版本均受影响。使用华硕设备的用户应检查当前版本,若不确定,可通过“设置→更新中心→检查更新”进行升级。
安全专家建议用户同步运行杀毒扫描——黑客需先通过钓鱼攻击或恶意软件入侵系统才能利用此漏洞。虽然攻击门槛较高,但奥创智控中心的广泛装机量仍可能吸引不法分子铤而走险。值得庆幸的是,目前尚未发现实际攻击案例。
《计算机世界》(Bleeping Computer)对此进行了深度解析:奥创智控中心直接调用Windows内核驱动监控硬件,而同类软件通常选择与内核保持距离,转而采用操作系统级访问控制。用夜店比喻来说,就像黑客先用木偶骗过保安(内核),再趁其分神时直捣DJ控制台——不过糟糕的音乐品味反而是最无关紧要的后果。
这已是华硕软件两个月内曝出的第二起漏洞。五月时,DriverHub工具被曝存在远程代码执行风险(实际漏洞早在二月就已上报)。至少本次华硕的反应速度有所提升。至于我是否会因此提前更新BIOS?看着那个需要100小时直播演示的BIOS更新教程,我决定还是继续沉迷游戏——毕竟盯着进度条发呆实在有违游戏玩家的本性。
