三星发布安全公告,宣布修复旗下SSD管理工具三星魔术师(Magician) Windows版本中的高危漏洞,漏洞编号为CVE-2025-57836。用户需立即升级至最新的v9.0.0版本,以防范潜在的DLL劫持和权限提升攻击。
⚠️ 需要注意的是,该漏洞仅影响Windows平台的三星魔术师软件,macOS与Android版本不受波及。
漏洞详情
据公告披露,此漏洞的根源在于软件安装程序在部署过程中,会创建一个权限配置薄弱的临时文件夹。非管理员用户可利用这一缺陷,对文件夹内的文件进行替换或植入恶意DLL文件。当用户下次启动三星魔术师软件时,这些恶意文件会被系统加载执行,进而让攻击者实现权限提升。
该漏洞由安全研究人员 Sandro Poppi 于 2025 年 8 月 11 日 向三星报告。问题根源在于 Magician 安装程序在安装过程中创建了一个权限配置不当的临时文件夹,导致普通用户可向其中写入文件。
攻击者可利用此缺陷:
- 替换合法 DLL 文件,或注入恶意 DLL;
- 在用户下次启动 Magician 时触发 DLL 劫持;
- 将自身权限从普通用户提升至本地管理员;
- 进而创建新管理员账户、修改系统文件、部署持久化后门等。
受影响版本:Magician 6.3.0 至 8.3.2(发布时间跨度从 2021 年至 2025 年底)。
修复版本:v9.0.0(2026 年 1 月 4 日正式发布)。
值得一提的是,本次更新不仅封堵了安全漏洞,还对软件进行了全新UI/UX设计,从官方下载页面的截图来看,新界面兼顾美观度与实用性,操作逻辑也更为清晰。
是否需要立即更新?
如果你满足以下任一条件,必须尽快升级:
- 电脑为多人共用;
- 存在非管理员的本地用户账户;
- 设备可能被他人物理接触;
- 你重视系统完整性与安全边界。
虽然在单用户、全管理员、物理安全良好的环境下风险较低,但鉴于漏洞利用门槛不高,建议所有用户统一更新,以消除潜在隐患。
三星魔术师:三星存储用户的必备工具
作为三星官方推出的免费存储管理软件,三星魔术师深受三星SSD、便携式固态硬盘、U盘及存储卡用户的青睐,核心功能包括:
- 数据迁移:一键将旧存储设备中的系统、应用和数据迁移至新三星存储
- 数据安全:支持磁盘加密与安全擦除,彻底清除已删除数据,防止恢复
- 性能优化:针对性优化存储设备读写性能,释放硬件潜能
- 健康监控:实时诊断驱动器健康状态,预警潜在故障风险
- 固件更新:一键升级存储设备固件,获取官方性能与稳定性优化
- 设备验证:鉴别三星存储设备真伪,避免购买到假冒伪劣产品
正因其功能实用,大量三星存储设备用户会主动安装该软件——这也使得此次漏洞的潜在影响范围较广。
如何升级?
- 访问三星官方 Magician 下载页面:https://semiconductor.samsung.cn/consumer-storage/magician
- 下载 v9.0.0 或更高版本;
- 卸载旧版(可选),安装新版;
- 验证版本号:打开 Magician → 帮助 → 关于。
建议所有 Windows 用户立即更新,勿因“暂时无感”而忽视潜在风险。在软件供应链安全日益重要的今天,及时打补丁是最有效的防御手段之一。
安全无小事,更新即防护。
0条评论