Názory k článku Dvě desítky zranitelností v UEFI postihují nejméně 25 výrobců PC
-
Hrozny nestesti pro servery, fakt. Drtiva vetsina serveru bezi ve virtualizaci cloudu, zbytek ve virtualizaci on-premise. Hypervizory v produkci clovek otoci tak 3-5x za zivotnost serveru (3 roky).
Dokud bezi OS, je to neexploitovatelne primo, musel by byt exploitovatelny ten OS ve virtualizaci, pres nej hypervizor, pres nej ten BIOS s UEFI.
Cili servery fakt spis ne.
Insyde kravina se masivne pouzivala u ruznych ne-firemnich NTB na doma, s timhle vyrobcem se roztrhl pytel v casech MDA, PDA, nettop etc.
U domacich pocitacu je to pravda horsi, tam je z internetu do OS mene prekazek, a z OS do UEFI ted zadna. A restartuje se furt. NTB mozna o neco mene (suspend to disk, suspend to memory)
UEFI je zbytecnost, jejiz hlavni motivaci bylo mit pred OS kus skryty pameti, kam schovame, po cem zakaznikovi nic neni a ma byt svazano s hw (licence atp). Ulitba bohum MS. Duvod pro to nebyl, grub taky nepotrebuje extra fyzickou memory, a muzete zvladat v podstate cokoliv.
Jak ted donuti poaktualizovat BIOSy domaci uzivatele, to bych fakt chtel videt.
-
BobTheBuilderStříbrný podporovatelJak ted donuti poaktualizovat BIOSy domaci uzivatele, to bych fakt chtel videt.
Třeba HP dává update BIOSu notebooků do Windows Update, to se lidem aktualizuje poměrně rychle. -
BuldrZlatý podporovatelPořád jde o nejsnadnější cestu, jako mezi obyčejné uživatele dostat bezpečnostní aktualizace.
HP má celkem dobře zvládnuté vynucování aktualizací v jejich nástroji HP Support Assistant - stále to stejné HP s dobrým HW, ale příšerným SW, nicméně dostat to WSUP je dobrá politika. Obslužný SW nemusí být všude, WSUP je jistota.
-
BobTheBuilderStříbrný podporovatel
S integrovanou grafikou Intel (10+ gen) BIOS/EFI do legacy nepřepnete, protože tam není legacy driver na tu grafiku. No a taky z NVMe legacy boot nefunguje. EFI boot zkrátka často použít musíte.
Alespoň že existuje grubx64.efi a stačí minimalistický grub.cfg:
search.fs_uuid aaaa-bbbb-.... root
set prefix=($root)'/boot/grub
configfile $prefix/grub.cfg -
Ano, ale o roadmape Intelu, ze do roka 2020 bude UEFI class 3 sme vedeli dlho... (napr.: https://www.phoronix.com/scan.php?page=news_item&px=Intel-Legacy-BIOS-EOL-2020).
Na rozdiel od vacsiny tu diskutujucich nepokladam UEFI za nieco strasne; ak by ste videli zdrojaky klasickych BIOS-ov, tak sa velmi nelisili od vystupu disassmblera, behalo to v realnom mode, robit tam nieco bolo za trest, zatialco UEFI je modularne, bezi v chranenom rezime, je pisane v C. Prvotna motivacia bola asi Open Firmware, len Intel chcel nieco, co bude ich. Ma koncept modulov a ovladacov, podporuje normalny sietovy boot (netreba zivit tftp, ale zvladne http/https, vratane DNS), pri blokovych zariadeniach netreba mat magicky prvy sektor, ale pozna filesystemy a vie z neho spustit subor a tak pokracovat v boote, ma to utility, ako napr. shell, takze ak je poskodeny bootloader alebo operacny system, tak pocitac nie je uplne mrtvy. Z hladiska power usera dost vela pozitiv.
Pri UEFI je aj samotny grub overkill, bohato postacuje systemd-boot ;). Systemd-boot pouziva napr. proxmox, ked je na UEFI s ZFS rootom.
-
O kódu BIOSů nevím zhola nic, ale problém nevidím v první řadě v nečistotě kódu. Ten problém je hlavně v obrovské košatosti toho, co umožňuje UEFI oproti klasickému BIOSu, čímž z podstaty věci poskytuje daleko větší prostor pro bezpečnostní díry, které by jinak ani existovat nemohly (řekněme ve slušně napsaném BIOSu).
-
To je pravda, ze je tam priestor pre bezpecnostne diery, ale na druhu stranu aj vela problemov riesi. Napr. uz nemame povolenu len jednu graficku kartu, ktora navyse musi byt VGA.
To, ze mna mnoho funkcii je aj vecou optiky - BIOS 30 rokov stagnoval a robilo sa v nom iba nutne minimum; co bolo mozne ukazovali non-x86 systemy, ktore takto limitovane neboli. Preto som aj napisal, ze UEFI je Intelov klon Open Firmware (ked som sa k nemu dostal koncom 90-tych rokov na powerpc macintoshi, bol to pre mna sok, v pozitivnom zmysle slova a prva myslienka bola, ze preco toto nie je aj na pc).
-
Při čtení nadpisu jsem si myslel, že se potvrdila existence BadBIOS.
https://www.root.cz/clanky/virus-badbios-vazna-hrozba-nebo-nesmysl/
tak zase nic... -
Zdravím a děkuji za zprávu.
Mohl by někdo pls popsat postup (vektory útoku), kterými je to pro útočníky zneužitelné?
Je třeba do stroje s touhle chybou proniknout při bootování? (z flashky, ze sítě)
Jde toho zneužít programem z OS? (Lin, Win. Mac?)
Pokud ano, musí mít útočník v OS navýšená oprávnění?Neriskuje člověk, že mu to po aktualizaci firmware roznastaví něco, kvůli čemu bude problém s OS?
Týká se to všech, kteří mají UEFI, nebo jsou ty chyby až od určitých verzí?
Vyřeší ten problém, vypnutí UEFI a povolení pouze legacy? (pokud to BIOS nabízí a funkce UEFI nepotřebujete)
Jaká jsou doporučení pro ty, kteří mají starší stroje a nebudou mít aktualizace?
Která nastavení BIOSu/UEFi by proti zneužití mohla pomoci?
