紧急提醒！你的计算机或许已中招，赶快顺利进行排查！

大家早上好，我是YUAN。

这几天，人身安全圈又曝显现出了一个多方面安全漏洞。如果你的电脑常用的是技嘉-GIGABYTE香港交易所，那么你可能不太可能中都招了，但还责怪。

在解说这个安全漏洞前，让我们思考一个弊端：如果电子产品经理让你发挥作用一个自动检测修正的功用，你则会看看呢？

这是一个很常见的功用，包括新浪、客户端等常用硬件都拥有这个功用。往往的发挥作用法则是，在硬件关机时与亦同通信，如果挖掘出旧版本，就从所选地址下载最近的装设包来进行装设。这种发挥作用法则看起来很有用，但是从人身安全的角度来看，其中都存在什么危险性呢？

首先，我们如何前提与真正的亦同来进行通信，而不是被攻击者驱使到一个实为地址上？

其次，我们如何前提下载的装设包是合理的，没有被捏造？

为了发挥作用一个人身安全的升级机制，我们只能前提与真正的亦同构建通信，并前提下载到的机制可能是我们的机制，不曾被捏造。往往，我们则会常用HTTPS来进行通信，并常用唯一性匹配等手段来前提人身有效性。

然而，技嘉-GIGABYTE近日曝显现出的安全漏洞就是在检测修正这个功用上犯了错。

据国内外专注BIOS的网络人身安全美国公司Eclypsium披露，他们在台湾地区制造商技嘉显现购得的香港交易所BIOS中都挖掘出了安全漏洞。当技嘉香港交易所重新关机时，香港交易所BIOS中都的代码则会关机一个修正机制，该机制则会下载并执行者另一个硬件。弊端显现出在修正机制上，逆向分析挖掘出，这个修正机制对下载的主旨实质上没有来进行匹配就直接试运行了。更糟糕的是，这个修正机制在某些但会可以常用HTTP而不是HTTPS来进行下载。

如果骇客通过某些手段将HTTP中都则会面时的域名抓获到自己的应用程序上，那么技嘉修正机制将下载骇客预先正要的恶意机制，例如勒索硬件、开发技术机制、木马或其他任意机制。因为技嘉没有来进行任何匹配！

那么，常用HTTPS就一定人身安全了吗？很遗憾，比如说。逆向分析挖掘出，技嘉并不曾对HTTPS相互连接每一次中都的应用程序认证来进行匹配，骇客举例来说可以构建实为的HTTPS免费来进行攻击。

一般来说，客户端则会面时HTTPS相对于人身安全是因为客户端则会的测试应用程序认证的权威性，一旦挖掘出必信，就则会揭示警告资讯。

关于客户端如何的测试认证的权威性，可以概述我前写过的一篇社论：

为了一个HTTPS，客户端操碎了心！

发挥作用自动检测修正的功用是非常常见的，但是很多机制员为了有用省事，只是发挥作用了这个功用而没有考虑人身有效性。对于一些小美国公司而言，他们研发了一些有用的硬件，频度不多，骇客也不则会显然他们。但是，一旦这些硬件的频度增加，就只能重视人身安全弊端了。特别是像新浪、抖音这样的人民应用，如果挖掘出此类人身安全弊端，那将是一场灾难。

因此，机制员们只能多了解一些人身安全知识，这对大家来说是正因如此的。据另据，受此安全漏洞不良影响的PC计算机规模可能很低达几百万。如果你常用技嘉-GIGABYTE香港交易所的电脑，表示同意立即检查一下。

最后，让我们思考一下，这个安全漏洞确实只是技嘉-GIGABYTE的一个错误呢？热烈欢迎在卫报区留言体会你的立场。