Microsoft, umut vericiDesteklenen donanımda “hizmet olarak bellenim”. Her PC üreticisi not almalıdır. PC'lerin UEFI bellenimleri için güvenlik güncellemelerine ihtiyacı var ve PC üreticileri bunları sağlama konusunda kötü bir iş çıkardılar.
UEFI Firmware Nedir?
Modern PC'ler yerine UEFI bellenimini kullanır.geleneksel BIOS. UEFI bellenimi, bilgisayarınızı başlattığınızda başlayan düşük seviye yazılımdır. Donanımınızı test eder ve başlatır, bazı düşük düzey sistem yapılandırması yapar ve ardından bir işletim sistemini bilgisayarınızın dahili sürücüsünden veya başka bir önyükleme aygıtından önyükler.
Ancak, UEFI biraz daha karmaşıkeski BIOS yazılımı. Örneğin, Intel işlemcili bilgisayarlarda, temelde küçük bir işletim sistemi olan Intel Management Engine denilen bir şey var. Windows, Linux veya bilgisayarınızda çalıştırdığınız işletim sistemine paralel çalışır. Şirket ağlarında, sistem yöneticileri bilgisayarlarını uzaktan yönetmek için Intel ME'deki özellikleri kullanabilir.
UEFI ayrıca “microcode” işlemci içerir.İşlemciniz için bir ürün yazılımı gibidir. Bilgisayarınız başlatıldığında, UEFI ürün yazılımından mikro kod yükler. Yazılım talimatlarını CPU'da gerçekleştirilen donanım talimatlarına çeviren bir tercüman gibi düşünün.
İLGİLİ: UEFI Nedir ve BIOS'tan Ne Kadar Farklıdır?
UEFI Firmware Neden Güvenlik Güncellemelerine İhtiyaç Duyuyor?
Son birkaç yıl, UEFI ürün yazılımının neden güvenlik güncellemelerine ihtiyaç duyduğunu defalarca gösterdi.
2018'de hepimiz Spectre hakkında bilgi edindik.modern işlemcilerle ciddi mimari problemler. “Spekülatif uygulama” olarak adlandırılan sorunların, programların standart güvenlik kısıtlamalarından kurtulabileceği ve güvenli bellek alanlarını okuyabileceği anlamına geliyordu. Spectre Düzeltmeleri düzgün çalışması için gerekli CPU mikro kod güncellemeleri. Bu, bilgisayar üreticilerinin tüm dizüstü bilgisayarlarını ve masaüstü bilgisayarlarını güncellemek zorunda kaldıklarını ve ana kart üreticilerinin de tüm anakartlarını güncellemiş olduklarını ve güncellenen mikrokodu içeren yeni UEFI bellenimini kullanmaları gerektiğini belirtti. Bir UEFI ürün yazılımı güncellemesi yüklemediğiniz sürece, bilgisayarınız Spectre'ye karşı yeterince korunmaz. AMD ayrıca AMD işlemcili sistemleri Spectre saldırılarından korumak için mikro kod güncellemeleri de yayınladı, bu yüzden bu sadece bir Intel değil.
Intel’in Yönetim Motoru bir miktar güvenlik gördüBilgisayara yerel erişimi olan saldırganların Management Engine yazılımını kırmasına ya da uzaktan erişime sahip bir saldırganın sorun çıkarmasına neden olabilecek hatalar. Neyse ki, uzaktan yapılan işlemler yalnızca Intel Aktif Yönetim Teknolojisini (AMT) etkinleştiren işletmeleri etkiledi, bu nedenle ortalama tüketiciler etkilenmedi.
Bunlar sadece birkaç örnek. Araştırmacılar ayrıca, UEFI ürün yazılımını sisteme derinlemesine erişmek için kullanarak bazı bilgisayarlarda kötüye kullanmanın mümkün olduğunu gösterdi. Bir bilgisayarın UEFI ürün yazılımına erişen ve oradan kaçan kalıcı fidye yazılımı bile gösterdiler.
Endüstri, gelecekteki bu sorunlara ve benzeri kusurlara karşı korunmasına yardımcı olmak için her bilgisayarın UEFI donanım yazılımını tıpkı herhangi bir yazılım gibi güncellemelidir.
İLGİLİ: PC'nizin veya Telefonunuzun Erime ve Spectreğe Karşı Korunup Korunmadığı Nasıl Denetlenir
Güncelleme Süreci Yıllardır Nasıl Kırıldı?
BIOS güncelleme işlemi bir karışıklık oldusonsuza dek - UEFI'den çok uzun zaman önce. Geleneksel olarak, bilgisayarlar bu eski okul BIOS'uyla birlikte gelir ve daha azı yanlış gidebilir. PC üreticileri küçük sorunları gidermek için birkaç BIOS güncellemesi gönderebilir, ancak genel tavsiye, PC'niz düzgün çalışıyorsa bunları yüklemekten kaçınmaktı. BIOS güncellemesini flaş etmek için genellikle önyüklenebilir bir DOS sürücüsünden önyükleme yapmak zorunda kaldınız ve herkes BIOS güncellemelerinin başarısız olduğunu ve PC'leri örttüğünü ve bunları engellemeyeceğini bildirdi.
İşler değişti. UEFI bellenimi çok daha fazlasını yapar ve Intel son birkaç yılda CPU mikrokodu ve Intel ME gibi şeylerle ilgili birçok büyük güncelleme yayınladı. Ne zaman böyle bir güncelleme yayınlarsa, Intel’in yapabileceği tek şey “bilgisayar üreticinize sorun.” Dır. Bilgisayar üreticiniz ya da ana bilgisayar üreticiniz kendi bilgisayarınızı oluşturduysa, kodu Intel’den alıp yeni bir UEFI ürün yazılımı içine entegre etmek zorundadır. sürümü. Ardından bellenimi denemek zorundalar. Oh, ve her üretici, farklı UEFI bellenimlerine sahip olduklarından, sattıkları her bilgisayar için bu işlemi tekrar etmek zorundadır. Geçmişte Android telefonların güncellenmesini zorlaştıran bir tür manuel çalışma.
Uygulamada, bu genellikle uzun süren anlamına gelirUEFI aracılığıyla yapılması gereken kritik güvenlik güncellemelerini almak için harcadığınız zamandır. Bu, üreticilerin sadece birkaç yıllık PC'leri güncellemeyi reddedebilir ve reddedebilecekleri anlamına gelir. Ve üreticiler güncellemeler yayınlasalar bile, bu güncellemeler genellikle üreticinin destek web sitesine gömülür. Çoğu PC kullanıcısı, bu UEFI ürün yazılımı güncellemelerinin var olduğunu asla keşfetmez ve bunları kuramaz; Bazı üreticiler, daha önce yalnızca DOS'a geçerek ürün yazılımı güncellemelerini yüklemenizi sağlıyor;
İnsanlar Ne Yapıyor?
Bu bir karmaşa. Üreticilerin yeni UEFI ürün yazılımı güncellemelerini daha kolay oluşturabilecekleri düzenli bir sürece ihtiyacımız var. Ayrıca bu güncellemeleri yayınlamak için daha iyi bir sürece ihtiyacımız var, böylece kullanıcılar bunları bilgisayarlarına otomatik olarak yükleyebilirler. Şu anda süreç yavaş ve manuel - hızlı ve otomatik olmalıdır.
Microsoft, Project Mu ile yapmaya çalıştığı şey bu. Resmi belgelerin nasıl açıkladığı:
Mu nakliye ve denizcilik fikri etrafında inşa edilmiştir.Bir UEFI ürününün sürdürülmesi sayısız ortak arasında devam eden bir işbirliğidir. Endüstri uzun süredir kopyala / yapıştır / yeniden adlandır ile birleştirilen bir “çatal” modelini kullanarak ürünler üretti ve her yeni üründe bakım yükü, maliyet ve risk nedeniyle güncellemelerin neredeyse imkansız olduğu bir seviyeye yükseldi.
Project Mu, PC üreticilerine yardım etmekle ilgiliUEFI geliştirme sürecini kolaylaştırarak ve herkesin birlikte çalışmasına yardımcı olarak UEFI güncellemelerini daha hızlı oluşturun ve test edin. Umarım, bu eksik parçadır, çünkü Microsoft, PC üreticilerinin UEFI ürün yazılımı güncellemelerini kullanıcılara otomatik olarak göndermelerini çoktan kolaylaştırmıştır.
Özellikle, Microsoft PC üreticilerine izin veriyorWindows Update aracılığıyla ürün yazılımı güncellemeleri yayınlar ve en azından 2017'den beri bu konuda belgeler sunar. Microsoft ayrıca, Ürün Yazılımı Güncelleme; üreticilerin Ekim 2018’de UEFI’yi ve diğer ürün yazılımını güncellemek için kullanabilecekleri açık kaynaklı bir model. PC üreticileri bu konuya girerse, ürün yazılımı güncellemelerini tüm kullanıcılarına çok hızlı bir şekilde sunabilirler.
Bu da sadece bir Windows olayı değil. Linux üzerinden geliştiriciler, bilgisayar üreticilerinin, Linux Satıcı Firmware Hizmeti LVFS ile UEFI güncellemeleri yayınlamasını kolaylaştırmaya çalışıyor. PC satıcıları güncellemelerini gönderebilir ve Ubuntu'da ve diğer birçok Linux dağıtımında kullanılan GNOME Yazılım uygulamasında indirilmek üzere görünürler. Bu çaba 2015 yılına kadar uzanıyor. Dell ve Lenovo gibi bilgisayar üreticileri katılıyor.
Windows ve Linux için bu çözümler daha fazla etkiliyorUEFI güncellemelerinin de ötesinde. Donanım üreticileri, gelecekte USB fare bellenimden yarıiletken disk bellenimdeki her şeyi güncellemek için kullanabilirler.
SwiftOnSecurity, katı hal sürücü ürün yazılımı ve şifrelemesindeki problemlerden bahsederken, ürün yazılımı güncellemeleri güvenilir olabilir. Donanım üreticilerinden daha iyi beklememiz gerekir.
Firmware güncellemeleri güvenilir olabilir. Sadece bir hatayla en az 3.000 Dell BIOS güncellemesi başlattım ve bu eski PC zaten hata vermekteydi.
İmkansız olduğunu düşündüğün şeyi tekrar düşün. Firmware servisi imkansız veya riskli değildir. İnsanların daha iyi talep etmelerini gerektirir.
- SwiftOnSecurity (@SwiftOnSecurity) 6 Kasım 2018
