幽默华硕，任意执行漏洞修复都要拖

shiangyeh

起因是日常看看关注的频道时，看到了新的视频，如下：



有点感兴趣，就去找了原文来看：



看完之后不得不佩服华硕的软件团队，这种错误真的绝了，连我自己的小网站都不敢这样操作，华硕的驱动安装程序（只要没在BIOS关闭DriverHUB，可是自动安装哦）竟然不验证RPC通信的主域名，而是用正则匹配完事，让作者可以直接用driverhub.asus.com.mrbruh.com这样的域名来绕过验证，并让使用了华硕主板且未在BIOS关闭DriverHUB的用户静默安装任意程序。

更幽默的是，这样一个风险这么高的漏洞，即使二月份已经有人提交了，华硕都拖到四月有人再次提交才开始修复。



发现漏洞的作者不知为何还以为华硕是个小型初创公司，以至于觉得没给钱也还好



真有你的啊，华硕。

erudin

hhhh 这看起来明显是在阴阳asus是个小公司

xy.

阿苏斯: cvss 才 9.4, 懒得修

相思风雨中

华硕：真有人用我那破软件？

shiangyeh

erudin 发表于 2025-6-15 22:30
hhhh 这看起来明显是在阴阳asus是个小公司

哈哈哈哈 发现了，那个链接点进去就是华硕的市值

PPXG

难蚌zsbd