华硕于周末针对DriverHub释出安全更新,解决主机板驱动程式管理软体DriverHub二个漏洞。 编号CVE-2025-3462及CVE-2025-3463的漏洞。两项漏洞是由代号Bruh的安全研究人员发现并通报,可让攻击者远端滥用执行程式码。 DriverHub为华硕驱动程式管理工具,它在主机板上以背景程式执行,连接华硕网站(在此为driverhub.asus.com)以持续安装驱动程式更新。DriverHub使用RPC,外部网站可以借此发送API呼叫,和本地端服务互动。但是往往使用者并未意会到该程式的执行。 CVE-2025-3462指涉DriverHub欠缺严谨安全检查,让未授权攻击者发送恶意HTTP呼叫和本地端软体功能互动。CVE-2025-3463则是DriverHub对外部发送的呼叫请求检查不周全,而透过恶意HTTP呼叫影响系统。CVE-2025-3462及CVE-2025-3463风险值分别为CVSS 8.4及9.4。 研究人员说明,DriverHub只检查呼叫请求的origin header是否包含driverhub.asus.com而不是精确比对。宽松的检查让攻击者可以透过子网域名或类似名称(如driverhub.asus.com.mrbruh.com)绕过验证,发送恶意RPC请求。 在其PoC测试中,研究人员从driverhub.asus.com.mrbruh.com网址上传合法签发的AsusSetup.exe安装程式,外加恶意执行档及.ini档。等用户访问该网站时,网站会向DriverHub的本地服务发送UpdateApp请求。此时即可透过二个漏洞冒充华硕网站,进而将恶意程式下载到用户电脑设备上。而后,具备管理员权限AsusSetup.exe执行安装恶意程式。 华硕除了发布更新软体修补两项漏洞,也说明漏洞只影响主机板,并不影响笔电、桌机和其他端点装置。要接受更新软体,开启华硕DriverHub点击Update Now即可。