友讯科技(D-Link)发布了一系列旧型号路由器的固件补丁,修复今年10月发现的能绕过身份验证的关键漏洞。嵌入式设备安全研究员Craig Heffner发现,如果浏览器User Agent String包含特殊的字符串“xmlset_roodkcableoj28840ybtide”,攻击者将可以绕过密码验证直接访问路由器的Web界面,浏览和修改设置。友讯科技随后证实了该漏洞,它建议用户不要启用远程管理功能。
新闻配图(图片仅供参考)
原文:Update on Router Security issue
D-Link routers authenticate administrative access using specific User-Agent string
