Cập nhật trình điều khiển—vâng, tôi biết chúng không vui, nhưng tất cả chúng ta đều phải làm. Ít nhất, chúng ít gây căng thẳng hơn so với cập nhật BIOS; Tôi biết tôi thực sự nên làm những việc đó thường xuyên hơn, nhưng nghĩ đến việc có điều gì đó không ổn giữa chừng khiến tôi thấy buồn nôn. Asus ít nhất cũng có một công cụ trình điều khiển có tên là DriverHub để giúp mọi thứ dễ dàng hơn. Thật không may, một lỗi gần đây của Hub có thể đã để lại cửa sau cho tin tặc.
Nếu bạn có bo mạch chủ Asus hoặc hệ thống được dựng sẵn, bạn nên cập nhật DriverHub ngay bây giờ vì hệ thống của bạn có thể có nguy cơ bị tấn công thực thi mã từ xa (qua Hot Hardware).
Nói một cách đơn giản, DriverHub hoạt động như một máy chủ mạng mở trong máy của bạn, tìm kiếm các yêu cầu HTTP và xác thực các yêu cầu đến trực tiếp từ driverhub.asus.com. Thật không may, nếu chúng ta nghĩ DriverHub là một câu lạc bộ khá độc quyền, thì nó cần phải sa thải người bảo vệ của mình vì nó cũng sẽ cho phép driverhub.asus.com.but.with.funny.glasses.and.a.trenchcoat.com vào.
Hóa ra công cụ trình điều khiển này không an toàn như mọi người mong muốn. Nếu ai đó thiết lập tên miền được đặt tên sáng tạo như tôi đã đề cập ở trên, thì tất cả những gì họ cần làm là tải lên một tệp chứa trình cài đặt Asus chính hãng có quyền quản trị viên cùng với các tệp độc hại theo lựa chọn của họ. Nguyên nhân là do DriveHub chỉ xác thực chữ ký số của trình cài đặt, chứ không xác thực bất kỳ tệp nào mà chương trình thực thi này hy vọng sẽ cài đặt trên hệ thống của bạn.
Để triển khai phép ẩn dụ về câu lạc bộ một lần nữa, nhân viên bảo vệ của DriveHub vẫy một người rõ ràng không phải là Asus vào, và sau đó nhân viên an ninh kiểm tra hành lý nhìn họ từ đầu đến chân, nói rằng, 'Đúng rồi, đó chắc chắn là một chiếc áo khoác dài rất thời trang', nhưng không nhìn vào bất kỳ túi nào của họ. Kẻ mạo danh sau đó đi về phía phòng VIP để gây ra một mớ hỗn độn mà tôi chắc chắn không muốn phải dọn dẹp.
Thật không may, lỗi phá hỏng bữa tiệc này không mới hoặc không gây ngạc nhiên như một số người mong đợi. Một nhà nghiên cứu bảo mật có biệt danh là MrBruh gần đây đã trình bày chi tiết về lỗ hổng bảo mật trước khi tiết lộ cho Asus. Tuy nhiên, hóa ra công ty có thể đã biết về vấn đề này từ tháng 2 sau khi một nhà nghiên cứu khác, "leonjza", cũng báo cáo vấn đề này với họ.
Tuy nhiên, lỗ hổng bảo mật này đã được NIST đăng ký là CVE-2025-3462 và CVE-2025-3463 tuần trước và cả hai đều có vinh dự đáng ngờ là đạt điểm CVSS-B cao (lần lượt là 8,4 và 9,4).
May mắn thay, việc cập nhật từ bên trong DriverHub khá dễ dàng. Ngoài ra, nếu bạn đã tắt cài đặt cập nhật tự động trực tiếp trong BIOS, do đó có thể tránh được lỗi, bạn được phép cảm thấy hơi tự mãn.
Mặc dù tôi muốn hoãn cập nhật BIOS—đặc biệt là sau khi viết về bản cập nhật 100 giờ không may này gần đây—nhưng có lẽ tôi nên thoải mái tự mình mày mò trong đó. Tắt cài đặt tự động có thể hơi rắc rối trong thời gian ngắn, nhưng với việc Nvidia phát hành bản sửa lỗi trình điều khiển GPU cho các bản sửa lỗi trước đó cũng không khắc phục được, thì việc này có thể đáng giá.
CPU tốt nhất cho chơi game: Chip hàng đầu từ Intel và AMD.
Bo mạch chủ chơi game tốt nhất: Bo mạch phù hợp.
Card đồ họa tốt nhất: Bộ đẩy pixel hoàn hảo của bạn đang chờ.
Tốt nhất SSD dành cho chơi game: Hãy tham gia trò chơi trước.
Nếu bạn có bo mạch chủ Asus hoặc hệ thống được dựng sẵn, bạn nên cập nhật DriverHub ngay bây giờ vì hệ thống của bạn có thể có nguy cơ bị tấn công thực thi mã từ xa (qua Hot Hardware).
Nói một cách đơn giản, DriverHub hoạt động như một máy chủ mạng mở trong máy của bạn, tìm kiếm các yêu cầu HTTP và xác thực các yêu cầu đến trực tiếp từ driverhub.asus.com. Thật không may, nếu chúng ta nghĩ DriverHub là một câu lạc bộ khá độc quyền, thì nó cần phải sa thải người bảo vệ của mình vì nó cũng sẽ cho phép driverhub.asus.com.but.with.funny.glasses.and.a.trenchcoat.com vào.
Hóa ra công cụ trình điều khiển này không an toàn như mọi người mong muốn. Nếu ai đó thiết lập tên miền được đặt tên sáng tạo như tôi đã đề cập ở trên, thì tất cả những gì họ cần làm là tải lên một tệp chứa trình cài đặt Asus chính hãng có quyền quản trị viên cùng với các tệp độc hại theo lựa chọn của họ. Nguyên nhân là do DriveHub chỉ xác thực chữ ký số của trình cài đặt, chứ không xác thực bất kỳ tệp nào mà chương trình thực thi này hy vọng sẽ cài đặt trên hệ thống của bạn.
Để triển khai phép ẩn dụ về câu lạc bộ một lần nữa, nhân viên bảo vệ của DriveHub vẫy một người rõ ràng không phải là Asus vào, và sau đó nhân viên an ninh kiểm tra hành lý nhìn họ từ đầu đến chân, nói rằng, 'Đúng rồi, đó chắc chắn là một chiếc áo khoác dài rất thời trang', nhưng không nhìn vào bất kỳ túi nào của họ. Kẻ mạo danh sau đó đi về phía phòng VIP để gây ra một mớ hỗn độn mà tôi chắc chắn không muốn phải dọn dẹp.
Thật không may, lỗi phá hỏng bữa tiệc này không mới hoặc không gây ngạc nhiên như một số người mong đợi. Một nhà nghiên cứu bảo mật có biệt danh là MrBruh gần đây đã trình bày chi tiết về lỗ hổng bảo mật trước khi tiết lộ cho Asus. Tuy nhiên, hóa ra công ty có thể đã biết về vấn đề này từ tháng 2 sau khi một nhà nghiên cứu khác, "leonjza", cũng báo cáo vấn đề này với họ.
Tuy nhiên, lỗ hổng bảo mật này đã được NIST đăng ký là CVE-2025-3462 và CVE-2025-3463 tuần trước và cả hai đều có vinh dự đáng ngờ là đạt điểm CVSS-B cao (lần lượt là 8,4 và 9,4).
May mắn thay, việc cập nhật từ bên trong DriverHub khá dễ dàng. Ngoài ra, nếu bạn đã tắt cài đặt cập nhật tự động trực tiếp trong BIOS, do đó có thể tránh được lỗi, bạn được phép cảm thấy hơi tự mãn.
Mặc dù tôi muốn hoãn cập nhật BIOS—đặc biệt là sau khi viết về bản cập nhật 100 giờ không may này gần đây—nhưng có lẽ tôi nên thoải mái tự mình mày mò trong đó. Tắt cài đặt tự động có thể hơi rắc rối trong thời gian ngắn, nhưng với việc Nvidia phát hành bản sửa lỗi trình điều khiển GPU cho các bản sửa lỗi trước đó cũng không khắc phục được, thì việc này có thể đáng giá.
CPU tốt nhất cho chơi game: Chip hàng đầu từ Intel và AMD.
Bo mạch chủ chơi game tốt nhất: Bo mạch phù hợp.
Card đồ họa tốt nhất: Bộ đẩy pixel hoàn hảo của bạn đang chờ.
Tốt nhất SSD dành cho chơi game: Hãy tham gia trò chơi trước.
