本文讲的是 主板固件漏洞被企业忽略 成攻击者天堂，一篇新的研究论文表示，由于对计算机BIOS（基本输入输出系统）和UEFI（统一可扩展固件接口）固件漏洞打补丁的忽略，数以千万计的企业处于危险之中。

BIOS和UEFI中的代码大量的复用，这意味着感染BIOS是非常可行的，并且能够自动化。

对计算机主板固件的利用，在攻击者眼中是一个天堂。它可以在计算机启动时安装恶意软件，而且无影无形，哪怕你无数次重装系统也无济于事。这种情况的出现主要照片于大多数企业或机构对BIOS相关漏洞打补丁的漠视，为了提醒业界，论文的作者，研究人员科华与凯伦伯格还提供了POC（概念性验证）代码。（论文下载）

“我们希望唤起对这些问题的关注，至少可以让机构采取最低的措施把厂商已经做好的补丁打上。”研究人员还表示，用户应该对那些漠视给固件打补丁的供应商施加压力。

科华和凯伦伯格还批评了人们对固件更新失败的担心。“我们检查过成千上万的BIOS更新，没有一例失败。它们任何其他补丁管理软件中的可执行程序一样。”

两位研究人员当下正在直接地与一些计算机厂商合作，如戴尔和联想，以加快对底层漏洞的发现和修补。发现固件中的漏洞之后，研究人员会给厂商约一年的时间修补，然后再公布漏洞信息。

原文发布时间为：六月 15, 2015