Фирма Eclypsium сообщила об обнаружении подозрительного поведения в системах на материнских платах Gigabyte. Анализ показывает, что применяется код прошивки для скрытого запуска программы обновления с подключением к интернету.
Это может показаться безвредным, но код попадает на пользовательские компьютеры без надлежащей аутентификации. Временами это происходит через незашифрованное соединение HTTP, что делает возможной атаку вида «человек посередине». К тому же не всем пользователям нравится, когда загрузка кода происходит без их согласия и даже уведомления. Наконец, есть вероятность, что новая версия прошивки испортит работу материнской платы или собьёт настройки.
Eclypsium обнаружила эту уязвимость более чем на 260 моделях материнских плат. Полный список можно посмотреть здесь. Также можно заблокировать доступ к адресам
http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
https://software-nas/Swhttp/LiveUpdate4
