Anasayfa » nasıl » PC'nizin UEFI Bellenimi Neden Güvenlik Güncellemelerine İhtiyaç Duyuyor?

    PC'nizin UEFI Bellenimi Neden Güvenlik Güncellemelerine İhtiyaç Duyuyor?

    Microsoft, desteklenen donanım konusunda “hizmet olarak üretici yazılımı” vaat ettiğini belirten Project Mu'yi duyurdu. Her PC üreticisi not almalıdır. PC'lerin UEFI bellenimleri için güvenlik güncellemelerine ihtiyacı var ve PC üreticileri bunları sağlama konusunda kötü bir iş çıkardılar.

    UEFI Bellenimi Nedir??

    Modern PC'ler geleneksel BIOS yerine UEFI bellenimini kullanır. UEFI bellenimi, bilgisayarınızı başlattığınızda başlayan düşük seviyeli yazılımdır. Donanımınızı test eder ve başlatır, bazı düşük düzey sistem yapılandırması yapar ve ardından bir işletim sistemini bilgisayarınızın dahili sürücüsünden veya başka bir önyükleme aygıtından önyükler.

    Ancak, UEFI, eski BIOS yazılımlarından biraz daha karmaşıktır. Örneğin, Intel işlemcili bilgisayarlarda, temelde küçük bir işletim sistemi olan Intel Management Engine denilen bir şey var. Windows, Linux veya bilgisayarınızda çalıştırdığınız işletim sistemine paralel çalışır. Şirket ağlarında, sistem yöneticileri bilgisayarlarını uzaktan yönetmek için Intel ME'deki özellikleri kullanabilir.

    UEFI ayrıca, işlemciniz için bir tür firmware benzeri olan “microcode” işlemcisini de içerir. Bilgisayarınız başlatıldığında, UEFI ürün yazılımından mikro kod yükler. Yazılım talimatlarını CPU'da gerçekleştirilen donanım talimatlarına çeviren bir tercüman gibi düşünün.

    UEFI Firmware Neden Güvenlik Güncellemelerine İhtiyaç Duyuyor?

    Son birkaç yıl, UEFI donanım yazılımının neden zamanında güvenlik güncellemelerine ihtiyaç duyduğunu defalarca gösterdi.

    Hepimiz 2018'de Spectre hakkında bilgi edindik, modern CPU'lardaki ciddi mimari problemleri gösterdik. “Spekülatif uygulama” olarak adlandırılan sorunların, programların standart güvenlik kısıtlamalarından kurtulabileceği ve güvenli bellek alanlarını okuyabileceği anlamına geliyordu. Spectre Düzeltmeleri düzgün çalışması için gerekli CPU mikro kod güncellemeleri. Bu, bilgisayar üreticilerinin tüm dizüstü bilgisayarlarını ve masaüstü bilgisayarlarını güncellemeleri gerektiği ve anakart üreticilerinin de tüm anakartlarını güncellemeleri ve yeni mikro kod içeren yeni UEFI sabit yazılımları ile güncellemeleri gerektiği anlamına geliyor. Bir UEFI ürün yazılımı güncellemesi yüklemediğiniz sürece, bilgisayarınız Spectre'ye karşı yeterince korunmaz. AMD ayrıca AMD işlemcili sistemleri Spectre saldırılarından korumak için mikro kod güncellemeleri de yayınladı, bu yüzden bu sadece bir Intel olayı değil.

    Intel'in Management Engine, bilgisayara yerel erişimi olan saldırganların Management Engine yazılımını kırmasına veya uzaktan erişime sahip bir saldırganın sorun çıkarmasına neden olabilecek bazı güvenlik hataları gördü. Neyse ki, uzaktan suistimaller yalnızca Intel Aktif Yönetim Teknolojisini (AMT) etkinleştiren işletmeleri etkiledi, bu nedenle ortalama tüketiciler etkilenmedi.

    Bunlar sadece birkaç örnek. Araştırmacılar ayrıca, UEFI bellenimini bazı bilgisayarlarda kötüye kullanmanın sisteme derinlemesine erişmek için kullandığını göstermiştir. Bir bilgisayarın UEFI donanım yazılımına erişen ve oradan kaçan kalıcı fidye yazılımı bile sergilediler.

    Endüstri, gelecekteki bu sorunlara ve benzeri kusurlara karşı korunmaya yardımcı olmak için her bilgisayarın UEFI donanım yazılımını tıpkı herhangi bir yazılım gibi güncellemelidir..

    Güncelleme Süreci Yıllardır Nasıl Kırıldı?

    BIOS güncelleme işlemi UEFI'den çok uzun zaman önce çok karışık bir durumdu. Geleneksel olarak, bilgisayarlar bu eski okul BIOS'uyla birlikte gelir ve daha azı yanlış gidebilir. PC üreticileri küçük sorunları gidermek için birkaç BIOS güncellemesi gönderebilir, ancak genel tavsiye, PC'niz düzgün çalışıyorsa bunları yüklemekten kaçınmaktı. BIOS güncellemesini flaş etmek için genellikle önyüklenebilir bir DOS sürücüsünden önyükleme yapmak zorunda kaldınız ve herkes BIOS güncellemelerinin başarısız olduğunu ve PC'leri örttüğünü ve bunları engellemeyeceğini bildirdi.

    İşler değişti. UEFI bellenimi çok daha fazlasını yapar ve Intel son birkaç yılda CPU mikrokodu ve Intel ME gibi şeylerle ilgili birçok büyük güncelleme yayınladı. Ne zaman böyle bir güncelleme yayınlarsa, Intel’in yapabileceği tek şey “bilgisayar üreticinize sorun.” Dır. Kendi PC'nizi kurduysanız, bilgisayar üreticiniz veya ana kart üreticiniz kodu Intel’den almak ve yeni bir UEFI bellenimine entegre etmek zorundadır. sürümü. Ardından bellenimi denemek zorundalar. Oh, ve her üretici, farklı UEFI bellenimlerine sahip olduklarından, sattıkları her bilgisayar için bu işlemi tekrar etmek zorundadır. Geçmişte güncellenmesi zor olan Android telefonları yapan el ile yapılan bir çalışma..

    Uygulamada bu, UEFI aracılığıyla yapılması gereken kritik güvenlik güncellemelerinin elde edilmesinin genellikle uzun aylar alacağı anlamına gelir. Bu, üreticilerin yalnızca birkaç yıllık PC'leri güncellemeyi reddedebilir ve reddedebilecekleri anlamına gelir. Ve üreticiler güncellemeler yayınlasalar bile, bu güncellemeler genellikle üreticinin destek web sitesine gömülür. Çoğu PC kullanıcısı, bu UEFI ürün yazılımı güncellemelerinin var olduğunu asla keşfetmez ve bunları kuramaz; bu nedenle bu hatalar, uzun süredir mevcut PC'lerde yaşar. Bazı üreticiler, daha önce yalnızca karmaşık hale getirmek için önce DOS'a geçerek bellenim güncellemelerini yüklemenizi sağlıyor.

    İnsanlar Ne Yapıyor?

    Bu bir karmaşa. Üreticilerin yeni UEFI ürün yazılımı güncellemelerini daha kolay oluşturabilecekleri düzenli bir sürece ihtiyacımız var. Ayrıca bu güncellemeleri yayınlamak için daha iyi bir sürece ihtiyacımız var, böylece kullanıcılar bunları bilgisayarlarına otomatik olarak yükleyebilirler. Şu anda süreç yavaş ve manuel - hızlı ve otomatik olmalı.

    Microsoft, Project Mu ile yapmaya çalıştığı şey bu. Resmi belgelerin nasıl açıkladığı:

    Mu, bir UEFI ürününün nakliyesinin ve bakımının yapılmasının çok sayıda ortak arasında devam eden bir işbirliği olduğu fikri üzerine inşa edilmiştir. Endüstri uzun süredir kopyala / yapıştır / yeniden adlandır ile birleştirilmiş “çatal” modelini kullanan ürünler üretti ve her yeni üründe bakım yükü, maliyet ve risk nedeniyle güncellemelerin neredeyse imkansız olduğu bir seviyeye yükseldi..

    Project Mu, bilgisayar üreticilerinin UEFI geliştirme sürecini kolaylaştırarak ve herkesin birlikte çalışmasına yardımcı olarak UEFI güncellemelerini daha hızlı oluşturmalarına ve test etmelerine yardımcı olmakla ilgili. Umarım, bu eksik parçadır, çünkü Microsoft, PC üreticilerinin UEFI ürün yazılımı güncellemelerini kullanıcılara otomatik olarak göndermelerini çoktan kolaylaştırmıştır..

    Spesifik olarak, Microsoft, PC üreticilerinin Windows Update aracılığıyla ürün yazılımı güncellemeleri yayınlamasını sağlar ve en az 2017'den beri bu konuda belgeler sunar. üreticilerin Ekim 2018’de UEFI’yi ve diğer bellenimi güncellemek için kullanabilecekleri açık kaynaklı bir model. PC üreticileri bu konuya girerse, ürün yazılımı güncellemelerini tüm kullanıcılarına çok hızlı bir şekilde sunabilirler..

    Bu da sadece bir Windows olayı değil. Linux üzerinden, geliştiriciler, bilgisayar üreticilerinin, Linux Satıcı Firmware Hizmeti LVFS ile UEFI güncellemeleri yayınlamasını kolaylaştırmaya çalışıyor. PC satıcıları güncellemelerini gönderebilirler ve Ubuntu'da ve diğer birçok Linux dağıtımında kullanılan GNOME Yazılım uygulamasında indirilmek üzere görüneceklerdir. Bu çaba 2015 yılına kadar uzanıyor. Dell ve Lenovo gibi bilgisayar üreticileri katılıyor.

    Windows ve Linux için bu çözümler de sadece UEFI güncellemesinden daha fazlasını etkiler. Donanım üreticileri, gelecekte USB fare bellenimden katı halli disk bellenimine kadar her şeyi güncellemek için kullanabilirler.

    SwiftOnSecurity, katı hal sürücü ürün yazılımı ve şifrelemesindeki problemlerden bahsederken, ürün yazılımı güncellemeleri güvenilir olabilir. Donanım üreticilerinden daha iyi beklememiz gerekir.

    Firmware güncellemeleri güvenilir olabilir. Sadece bir hatayla en az 3.000 Dell BIOS güncellemesi başlattım ve bu eski PC zaten başarısız oldu.

    İmkansız olduğunu düşündüğün şeyi tekrar düşün. Firmware servisi imkansız veya riskli değildir. İnsanların daha iyi talep etmelerini gerektirir.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 Kasım 2018

    Görüntü Kredisi: Intel, Natascha Eibl, kubais / Shutterstock.com.