Re: [情報] 華碩 Armoury Crate 爆高風險漏洞

※ 引述《nk11208z (小魯)》之銘言：
: 華碩 Armoury Crate 爆高風險漏洞，攻擊者可取得管理員權限進行攻擊
:
: 華碩Armoury Crate軟體出現高風險漏洞CVE-2025-3464，攻擊者可藉此提權至System層級: ，建議用戶盡速更新修補。
: 華碩系統管理軟體 Armoury Crate 一項高風險漏洞，可讓攻擊者提升其 Windows 系統權: 限到 System 層級。

: 攻擊者想要濫用 CVE-2025-3464，必須是已存取了系統，像是惡意程式感染、釣魚取得帳: 號、或駭入了一般帳號。

: 可讓攻擊者提高本地權權的 Windows 核心驅動程式漏洞，已在駭客間流傳開來，用以發: 動勒索軟體、惡意程式行動及攻擊政府網路。
:

: 推 Fezico: 不是阿，要觸發這東西都已經取得系統權限 27.52.166.244 07/06 15:57: → Fezico: 了是有差喔？ 27.52.166.244 07/06 15:57: → Fezico: 跟之前牙膏廠的漏洞好像很嚴重，但發動前 27.52.166.244 07/06 15:58: → Fezico: 提是已經取得系統管理權限，馬的是有差喔? 27.52.166.244 07/06 15:58: → Fezico: 都跑去你家裏面然後說你的鎖不安全，有啥 27.52.166.244 07/06 15:59: → Fezico: 意義？ 27.52.166.244 07/06 15:59
: 噓 honmayan: 噓Fezico誤導, 這個漏洞利用前提是"取得 140.112.30.182 07/06 17:51: → honmayan: 一般使用者權限" 140.112.30.182 07/06 17:51: → honmayan: 請重讀"攻擊者想要濫用"那一段 140.112.30.182 07/06 17:51
: → Fezico: “存取系統”這四個字應該沒很難，一般帳 27.52.166.244 07/06 18:53
: → Fezico: 號要改更系統要有管理者權限。AC軟體垃圾 27.52.166.244 07/06 18:53: → Fezico: 歸垃圾，狗都不用的東西但也不至於像內文 27.52.166.244 07/06 18:53: → Fezico: 那麼誇張好像可以靠AC攻破。 27.52.166.244 07/06 18:53
欸不是, 再看一次我提的那段: "必須是已存取了系統", 這句話的意思就是
已經取得本機存取權, 並不是 "已取得系統權限".

如果怕中文翻譯有誤, 那看原文: "the attacker must already be on the
system", 一樣的意思.

而且該段後面就舉例了: "像是惡意程式感染、釣魚取得帳號、或駭入了一般
帳號".

再說文章前面就不斷強調了, 這是個 "提升權限" 類型的漏洞, 也就是攻擊者
一開始並沒有這個權限.

好, 我知道根據凡事賴給清...啊不是, 凡事賴給別人的SOP, 可能你會說那是
文章寫得不精確. 沒問題, 那我們直接看CVE:

CVSS Vector:

Attack Vector: Local
這項代表攻擊者需要進入本機系統, 無論是利用其它漏洞, 或是偷來的存
取權, 或是誘導使用者幫忙

Privileges Required: Low
這項代表攻擊者只需要一般使用者的權限

無論是中英文的報導, 還是CVE的資料, 都說這個漏洞只需要一般使用者的
權限捏. 還要繼續拗嗎?

---

這個板討論的主題常常牽涉到一些好惡, 或是每個人需求不同而造成的選擇不同.
這種就是各自表述了, 畢竟好惡這種東西本來就是主觀的.

但是關於技術的東西, 我還是覺得要反駁人之前, 至少先確定懂自己在講什麼,
或是就算不懂, 趕快做點功課, 而不是說話大聲就贏.

--

你是指支語嗎? 我也不喜歡. 不過 local 這個詞翻本地算是支語嗎? 我還真的一時無法確定. 謝謝指正. 好, 改用本機好了.

我想你誤會了, 我還滿感謝有人指正我誤用支語的.

optimization的正式翻譯就是最佳化. 甚至在有計算機科學之前, 在數學領域就在研究最佳化問題了. 作業研究, 經濟學, 很多領域也會關心這個問題. 而無論用哪種表達方式, 最佳化問題的核心就是:

用 "優化" 反而給人好像隨便努力一下, 比原本的好就算數了的感覺. 然後回到原本的問題, 要不要放棄你(應該)所學的詞語改用支語是個人選擇的問題, 總之我是不想用.