Zakaj vdelana programska oprema UEFI vašega računalnika potrebuje varnostne posodobitve



Microsoft je pravkar napovedal Projekt Mu , ki obljublja vdelano programsko opremo kot storitev na podprti strojni opremi. Vsak proizvajalec osebnih računalnikov bi moral upoštevati. Računalniki potrebujejo varnostne posodobitve vdelane programske opreme UEFI, proizvajalci osebnih računalnikov pa so slabo opravili njihovo dostavo.

Kaj je vdelana programska oprema UEFI?

Uporabljajo se sodobni osebni računalniki UEFI firmware namesto tradicionalnega BIOS . Vdelana programska oprema UEFI je programska oprema nizke ravni, ki se zažene, ko zaženete računalnik. Preizkuša in inicializira vašo strojno opremo, naredi sistemsko konfiguracijo na nizki ravni in nato zažene operacijski sistem z notranjega pogona vašega računalnika ali drugega zagonska naprava .





Vendar je UEFI nekoliko bolj zapleten kot starejša programska oprema BIOS. Na primer, računalniki s procesorji Intel imajo nekaj, kar se imenuje Intelov upravljalni mehanizem , ki je v bistvu majhen operacijski sistem. Deluje vzporedno z operacijskim sistemom Windows, Linux ali katerim koli operacijskim sistemom, ki ga uporabljate v računalniku. V omrežjih podjetij lahko sistemski skrbniki uporabljajo funkcije v Intel ME za oddaljeno upravljanje svojih računalnikov.

UEFI vsebuje tudi procesor mikrokodo , ki je kot vdelana programska oprema za vaš procesor. Ko se vaš računalnik zažene, naloži mikrokodo iz vdelane programske opreme UEFI. Pomislite na to kot na tolmača, ki prevaja navodila programske opreme v navodila strojne opreme, ki se izvajajo na CPU.



POVEZANO: Kaj je UEFI in kako se razlikuje od BIOS-a?

Zakaj vdelana programska oprema UEFI potrebuje varnostne posodobitve

Zadnjih nekaj let je vedno znova pokazalo, zakaj vdelana programska oprema UEFI potrebuje pravočasne varnostne posodobitve.



Oglas

Vsi smo se učili o Spekter leta 2018, ki prikazuje resne arhitekturne težave s sodobnimi procesorji. Težave z nečim, kar se imenuje špekulativno izvajanje, so pomenile, da se programi lahko izognejo standardnim varnostnim omejitvam in preberejo varna področja pomnilnika. Popravki za Spectre zahtevane posodobitve mikrokode CPE da pravilno deluje. To pomeni, da so morali proizvajalci osebnih računalnikov posodobiti vse svoje prenosne in namizne računalnike – proizvajalci matičnih plošč pa so morali posodobiti vse svoje matične plošče – ​​z novo strojno programsko opremo UEFI, ki vsebuje posodobljeno mikrokodo. Vaš računalnik ni ustrezno zaščiten pred Spectrom, razen če ste namestili posodobitev vdelane programske opreme UEFI. AMD izdal tudi posodobitve mikrokode za zaščito sistemov s procesorji AMD pred napadi Spectre, tako da to ni samo stvar Intela.

Intelov Management Engine je nekaj videl varnostne napake ki bi lahko dovolil napadalcem z lokalnim dostopom do računalnika, da zlomijo programsko opremo Management Engine, ali pa povzročitelju težav z oddaljenim dostopom. Na srečo so oddaljena izkoriščanja prizadela samo podjetja, ki so omogočila tehnologijo Intel Active Management Technology (AMT), tako da povprečni potrošniki niso bili prizadeti.

To je le nekaj primerov. Raziskovalci so tudi dokazali, da je mogoče zlorabljati vdelano programsko opremo UEFI na nekaterih osebnih računalnikih in jo uporabiti za globok dostop do sistema. Celo dokazali so obstojna ransomware ki je pridobil dostop do vdelane programske opreme UEFI računalnika in se od tam zagnal.

Industrija bi morala posodabljati strojno-programsko opremo UEFI vsakega računalnika tako kot katero koli drugo programsko opremo, da bi se zaščitila pred temi težavami in podobnimi napakami v prihodnosti.

POVEZANO: Kako preveriti, ali je vaš računalnik ali telefon zaščiten pred Meltdown in Spectre

Kako je bil postopek posodabljanja zlomljen že leta

Postopek posodabljanja BIOS-a je bil večno nered - že dolgo pred UEFI. Tradicionalno so bili računalniki dobavljeni s starim BIOS-om in manj bi lahko šlo narobe. Proizvajalci osebnih računalnikov jih lahko pošljejo nekaj Posodobitve BIOS-a odpraviti manjše težave, vendar je bil običajen nasvet, da izogibajte se njihovi namestitvi če je vaš računalnik pravilno deloval. Pogosto ste se morali zagnati z zagonskega pogona DOS, da bi posodobili BIOS, in vsi so slišali zgodbe o tem, da posodobitve BIOS-a niso uspele in da so računalniki uničeni, zaradi česar jih ni bilo mogoče zagnati.

Stvari so se spremenile. Vdelana programska oprema UEFI naredi veliko več, Intel pa je v zadnjih nekaj letih izdal več velikih posodobitev stvari, kot sta mikrokoda CPU in Intel ME. Kadar koli Intel izda takšno posodobitev, lahko Intel samo reče, da vpraša proizvajalca računalnika. Proizvajalec vašega računalnika – ali proizvajalec matične plošče, če ste zgradili svoj osebni računalnik – mora prevzeti kodo od Intela in jo integrirati v novo različico vdelane programske opreme UEFI. Nato morajo preizkusiti vdelano programsko opremo. Oh, in vsak proizvajalec mora ta postopek ponoviti za vsak posamezen računalnik, ki ga prodaja, saj imajo vsi drugačno vdelano programsko opremo UEFI. To je vrsta ročnega dela telefoni Android tako težko posodobiti v preteklosti.

Oglas

V praksi to pomeni, da pogosto traja dolgo – več mesecev – za pridobitev kritičnih varnostnih posodobitev, ki jih je treba dostaviti prek UEFI. To pomeni, da lahko proizvajalci skomignejo z rameni in zavrnejo posodobitev osebnih računalnikov, ki so stari le nekaj let. In tudi ko proizvajalci izdajo posodobitve, so te posodobitve pogosto zakopane na spletnem mestu za podporo tega proizvajalca. Večina uporabnikov osebnih računalnikov nikoli ne bo odkrila, da te posodobitve vdelane programske opreme UEFI obstajajo, in jih namestila, zato te hrošče na koncu živijo v obstoječih osebnih računalnikih dlje časa. Nekateri proizvajalci še vedno zahtevajo namestitev posodobitev vdelane programske opreme zagon v DOS najprej – samo da bi bilo še dodatno zapleteno.

Kaj ljudje počnejo glede tega

To je nered. Potrebujemo poenostavljen postopek, kjer lahko proizvajalci lažje ustvarijo nove posodobitve strojne programske opreme UEFI. Potrebujemo tudi boljši postopek za izdajo teh posodobitev, tako da jih lahko uporabniki samodejno namestijo v svoje osebne računalnike. Trenutno je postopek počasen in ročni – mora biti hiter in samodejen.

To poskuša Microsoft narediti s Project Mu. Tukaj je opisano uradna dokumentacija razlaga:

Mu temelji na ideji, da sta pošiljanje in vzdrževanje izdelka UEFI stalno sodelovanje med številnimi partnerji. Industrija je predolgo gradila izdelke z uporabo modela razcepka v kombinaciji s kopiranjem/lepljenjem/preimenovanjem in z vsakim novim izdelkom breme vzdrževanja naraste do takšne ravni, da so posodobitve skoraj nemogoče zaradi stroškov in tveganja.

Projekt Mu je namenjen pomoči proizvajalcem osebnih računalnikov pri hitrejšem ustvarjanju in testiranju posodobitev UEFI, tako da poenostavi razvojni proces UEFI in pomaga vsem pri sodelovanju. Upajmo, da je to manjkajoči del, saj je Microsoft že olajšal proizvajalcem osebnih računalnikov, da uporabnikom samodejno pošiljajo posodobitve vdelane programske opreme UEFI.

Natančneje, Microsoft dovoljuje proizvajalcem osebnih računalnikov izdajo posodobitve vdelane programske opreme prek storitve Windows Update in je o tem zagotovil dokumentacijo vsaj od leta 2017. Napovedal je tudi Microsoft Posodobitev vdelane programske opreme komponente ; odprtokodni model, ki ga lahko proizvajalci uporabijo za posodabljanje UEFI in druge vdelane programske opreme, že oktobra 2018. Če se proizvajalci osebnih računalnikov s tem vključijo, bi lahko zelo hitro dostavili posodobitve vdelane programske opreme vsem svojim uporabnikom.

Tudi to ni samo stvar Windows. V Linuxu se razvijalci trudijo, da bi proizvajalcem osebnih računalnikov olajšali izdajanje posodobitev UEFI LVFS , storitev vdelane programske opreme proizvajalca Linux. Proizvajalci osebnih računalnikov lahko predložijo svoje posodobitve in prikazane bodo za prenos v aplikaciji programske opreme GNOME, ki se uporablja v Ubuntuju in številnih drugih distribucijah Linuxa. Ta prizadevanja segajo v leto 2015. Proizvajalcem osebnih računalnikov je všeč Dell in Lenovo sodelujejo.

Oglas

Te rešitve za Windows in Linux vplivajo tudi na več kot le na posodobitve UEFI. Proizvajalci strojne opreme bi jih lahko uporabili za posodobitev vsega od vdelane programske opreme miške USB do vdelane programske opreme pogona SSD v prihodnosti.

Kot SwiftOnSecurity postavite, ko govorimo o težave z vdelano programsko opremo in šifriranjem pogona SSD , so lahko posodobitve vdelane programske opreme zanesljive. Od proizvajalcev strojne opreme moramo pričakovati boljše.

Zasluga slike: Intel , Natascha Eibl , kubais /Shutterstock.com.

PREBERITE NAPREJ
  • & rsaquo; Cyber ​​ponedeljek 2021: najboljše tehnične ponudbe
  • › Kaj je zaščita pred padci MIL-SPEC?
  • › Računalniška mapa je 40: Kako je Xerox Star ustvaril namizje
  • › Funkcije v primerjavi s formulami v Microsoft Excelu: v čem je razlika?
  • › Kako najti svoj Spotify Wrapped 2021
  • › 5 spletnih mest, ki bi jih moral vsak uporabnik Linuxa dodati med zaznamke
Profilna fotografija Chrisa Hoffmana Chris Hoffman
Chris Hoffman je glavni urednik How-To Geek. Več kot desetletje piše o tehnologiji in dve leti je bil kolumnist PCWorld. Chris je pisal za The New York Times, bil je intervjuvan kot strokovnjak za tehnologijo na televizijskih postajah, kot je miamijev NBC 6, njegovo delo pa so pokrivale novice, kot je BBC. Od leta 2011 je Chris napisal več kot 2000 člankov, ki so bili prebrani skoraj milijardo krat --- in to samo tukaj, na How-To Geek.
Preberite celotno biografijo

Zanimivi Članki