微软刚刚宣布了Mu项目,承诺在支持的硬件上实现“固件即服务”。每个PC**商都应该注意。个人电脑需要对其UEFI固件进行安全更新,而个人电脑**商在提供这些更新方面做得很差。
现代PC使用UEFI固件而不是传统的BIOS。UEFI固件是在引导电脑时启动的低级软件。它测试并初始化硬件,进行一些低级系统配置,然后从电脑的内部驱动器或其他引导设备引导操作系统。
然而,UEFI比旧的BIOS软件要复杂一些。例如,使用英特尔处理器的计算机有一种叫做“英特尔管理引擎”的东西,它基本上是一个微型操作系统。它与Windows、Linux或任何您正在计算机上运行的操作系统并行运行。在公司网络上,系统管理员可以使用“英特尔ME”中的功能远程管理他们的计算机。
UEFI还包含处理器“微码”,这有点像处理器的固件。当您的计算机启动时,它会从UEFI固件加载微码。把它想象成一个解释器,把软件指令翻译成在CPU上执行的硬件指令。
相关:什么是UEFI,它与BIOS有何不同?
过去几年,UEFI固件需要及时进行安全更新的原因已经得到了反复的证明。
我们都在2018年了解了幽灵,展示了现代CPU的严重架构问题。所谓“推测性执行”的问题意味着程序可以脱离标准的安全限制,读取内存的安全区域。修复幽灵所需的CPU微码更新功能正常。这意味着个人电脑**商必须更新他们所有的笔记本电脑和台式电脑,主板**商必须更新他们所有的主板与新的UEFI固件包含更新的微码。除非你安装了UEFI固件更新,否则你的电脑不会受到足够的幽灵保护。AMD还发布了微代码更新,以保护采用AMD处理器的系统免受幽灵攻击,因此这不仅仅是英特尔的事情。
英特尔的管理引擎出现了一些安全漏洞,这些漏洞可能会让具有本地计算机访问权限的攻击者破解管理引擎软件,或者让具有远程访问权限的攻击者造成麻烦。幸运的是,这些远程攻击只影响到启用了Intel主动管理技术(AMT)的企业,因此普通消费者没有受到影响。
这些只是几个例子。研究人员还证明,在某些PC上滥用UEFI固件是有可能的,利用它可以深入访问系统。他们甚至演示了持久的勒索软件,可以访问计算机的UEFI固件并从那里运行。
业界应该像任何其他软件一样更新每台计算机的UEFI固件,以防将来出现这些问题和类似的缺陷。
相关:如何检查您的电脑或**是否受到保护,以防熔毁和幽灵
早在UEFI出现之前,BIOS的更新过程就一直一团糟。传统上,电脑附带了老式的BIOS,很少会出错。个人电脑**商可能会提供一些BIOS更新来解决一些小问题,但通常的建议是,如果你的电脑工作正常,就不要安装它们。你经常不得不从一个可启动的DOS驱动器启动来刷新BIOS更新,每个人都听说过BIOS更新失败和阻塞pc的故事,使得它们无法启动。
事情变了。UEFI固件做的更多,英特尔在过去几年中发布了CPU微码和英特尔ME等几大更新。每当英特尔发布这样的更新,英特尔所能做的就是说“问你的计算机**商。”你的计算机**商或主板**商,如果你建立自己的电脑必须采取英特尔的代码,并将其集成到一个新的UEFI固件版本。然后他们必须测试固件。哦,每个**商都必须对他们销售的每台个人电脑重复这个过程,因为他们都有不同的UEFI固件。正是这种手工操作使得Android**在过去很难更新。
在实践中,这意味着通常需要很长时间甚至几个月才能获得必须通过UEFI交付的关键安全更新。这意味着**商可能会耸耸肩,拒绝更新只有几年历史的个人电脑。而且,即使**商发布了更新,这些更新通常也会被隐藏在**商的支持网站上。大多数PC用户永远不会发现这些UEFI固件更新存在并安装它们,因此这些漏洞最终会在现有PC上存在很长一段时间。一些**商仍然让你安装固件更新通过引导到DOS的第一只是为了让它更加复杂。
真是一团糟。我们需要一个简化的过程,**商可以更容易地创建新的UEFI固件更新。我们还需要一个更好的过程来发布这些更新,这样用户就可以让他们自动安装在他们的电脑上。现在这个过程是缓慢的和手动的,应该是快速和自动的。
这正是微软正试图对穆项目所做的。官方文件是这样解释的:
Mu is built around the idea that shipping and maintaining a UEFI product is an ongoing collaboration between numerous partners. For too long the industry has built products using a “forking” model combined with copy/paste/rename and with each new product the maintenance burden grows to such a level that updates are near impossible due to cost and risk.
Mu项目旨在通过简化UEFI开发流程和帮助所有人协同工作,帮助PC**商更快地创建和测试UEFI更新。希望这是缺失的部分,因为微软已经让PC**商更容易自动向用户发送UEFI固件更新。
具体来说,微软允许PC**商通过Windows Update发布固件更新,并至少从2017年起提供了相关文档。微软还于2018年10月宣布了组件固件更新;这是一种开源模式,**商可以使用它来更新UEFI和其他固件。如果个人电脑**商也能做到这一点,他们就可以很快地向所有用户提供固件更新。
这也不仅仅是Windows的东西。在Linux上,开发人员正试图让PC**商更容易使用Linux供应商固件服务LVFS发布UEFI更新。PC供应商可以提交他们的更新,它们将出现在GNOME软件应用程序中供下载,该应用程序用于Ubuntu和许多其他Linux发行版。这一努力可以追溯到2015年。戴尔(Dell)和联想(Lenovo)等个人电脑**商也在参与。
这些针对Windows和Linux的解决方案影响的不仅仅是UEFI更新。硬件**商将来可以用它们来更新从USB鼠标固件到固态驱动器固件的所有东西。
正如SwiftOnSecurity在谈到固态硬盘固件和加密问题时所说,固件更新是可靠的。我们需要从硬件**商那里得到更好的期望。
Firmware updates can be reliable. I have initiated at least 3,000 Dell BIOS updates with only one failure, and that old PC was already in service for failing.
Re-think what you think is impossible. Firmware servicing is not impossible or risky. It requires people demand better.
— SwiftOnSecurity (@SwiftOnSecurity) November 6, 2018
图片来源:Intel,Natascha Eibl,kubais/Shutterstock.com网站.
...洞的消息传出时,它几乎总是成为头条新闻。一篇关于Mac电脑易受电喷攻击的论文成为大新闻并不奇怪,即使该研究的作者说大多数消费者用户不必担心。 ...
...新BIOS。毕竟,PC性能通常不会受到BIOS版本的影响。那你为什么要?两个字:持续稳定。 ...
当你第一次启动你的电脑时,你会看到屏幕上有一堆文字在滚动。大多数人只是忽略这一点,等待Windows登录屏幕出现。但是,如果你需要在电脑上进行故障排除或调整一些设置,有一个非常有用的工具,你可以从这里访问UEFI。 ...
... 关掉你的电脑。然后,在引导过程中重新打开并按BIOS输入键。这因硬件类型而异,但通常是F1、F2、F12、Esc或Del;Windows用户可以在按住Shift键的同时选择“重新启动”以进入高级启...
...是持久的,因此被许可方可以跟踪被盗设备。该工具深入电脑的原因是相当合理的,而LoJack仍然是一个流行的防盗产品,这些确切的质量。 ...
当你打开电脑的电源时,它会经历一个“启动”过程,这个术语来源于“bootstrap”一词。下面是在后台发生的事情,无论你使用的是Windows PC、Mac还是Linux系统。 硬件开机 当您按下电源按钮时,计算机会为其组件提供电源—主...
...备上运行的软件,执行低级任务。例如,从电视遥控器到电脑硬盘,再到无人机,所有东西都运行自己的固件。微码基本上就是CPU的固件。 什么是固件(firmware)? 软件是指运行在设备上的程序、应用程序和其他计算机代码。硬...
...有计划发布它。Microsoft的修补程序仅适用于Windows 10。 为什么你的电脑仍然容易受到幽灵的攻击 相关:如何检查您的电脑或**是否受到保护,以防熔毁和幽灵 幽灵和熔毁是同时被披露的,所以这可能有点混乱。最初的Windows补丁...