关键信息 漏洞概述 漏洞名称: Clevo UEFI firmware embedded BootGuard keys compromising Clevo's implementation of BootGuard 漏洞编号: VU#538470 发布日期: 2025-10-13 最后修订日期: 2025-10-14 描述 Clevo的UEFI固件更新包中包含了敏感的私钥,这些私钥用于其Intel Boot Guard实现。这种意外的密钥暴露可能被攻击者利用来签署恶意固件,使用Clevo的Boot Guard信任链,潜在地破坏预引导UEFI环境在采用Clevo实现的系统上。 影响 具有对系统闪存存储写访问权限的攻击者,无论是通过物理访问还是特权软件更新机制,都可以滥用泄露的密钥来签名和安装恶意固件。此类固件将在受保护的早期阶段被信任,从而允许绕过受影响的UEFI系统的保护,导致设备的持久性和隐秘控制。 解决方案 虽然Clevo已报告删除了包含泄露密钥的受影响软件,但目前尚未宣布任何公共修复步骤。使用基于Clevo的设备的用户,包括那些集成Clevo固件的其他OEM,应: 评估他们对受影响固件版本的暴露程度。 监控系统以防止未经授权的固件修改。 仅从验证和可信的来源应用固件更新。 受影响厂商 Google: Not Affected Insyde Software Corporation: Not Affected Intel: Not Affected Phoenix Technologies: Not Affected UEFI Security Response Team: Not Affected Acer: Unknown ADATA: Unknown Amazon: Unknown American Megatrends Incorporated (AMI): Unknown ASUSTeK Computer Inc.: Unknown 其他信息 CVE ID: CVE-2025-11577 API URL: VINCE JSON 公开日期: 2025-10-13 首次发布日期: 2025-10-13 最后更新日期: 2025-10-14 15:50 UTC 文档修订版: 2