Tại sao PC của bạn cần cập nhật chương trình cơ sở UEFI cần cập nhật bảo mật



Microsoft vừa công bố Dự án Mu , phần sụn đầy hứa hẹn như một dịch vụ trên phần cứng được hỗ trợ. Mọi nhà sản xuất PC nên lưu ý. PC cần cập nhật bảo mật cho phần sụn UEFI của chúng và các nhà sản xuất PC đã thực hiện kém công việc cung cấp chúng.

Phần mềm cơ sở UEFI là gì?

PC hiện đại sử dụng Phần mềm UEFI thay vì một truyền thống BIOS . Phần mềm UEFI là phần mềm cấp thấp khởi động khi bạn khởi động PC. Nó kiểm tra và khởi tạo phần cứng của bạn, thực hiện một số cấu hình hệ thống cấp thấp, sau đó khởi động hệ điều hành từ ổ đĩa trong của máy tính hoặc ổ đĩa khác thiết bị khởi động .





Tuy nhiên, UEFI phức tạp hơn một chút so với phần mềm BIOS cũ hơn. Ví dụ: máy tính với bộ xử lý Intel có một cái gì đó được gọi là Công cụ quản lý Intel , về cơ bản là một hệ điều hành nhỏ. Nó chạy song song với Windows, Linux hoặc bất kỳ hệ điều hành nào bạn đang chạy trên máy tính của mình. Trên mạng công ty, quản trị viên hệ thống có thể sử dụng các tính năng trong Intel ME để quản lý từ xa máy tính của họ.

UEFI cũng chứa bộ xử lý mã vi mô , giống như phần sụn cho bộ xử lý của bạn. Khi máy tính của bạn khởi động, nó sẽ tải vi mã từ chương trình cơ sở UEFI. Hãy coi nó giống như một trình thông dịch dịch các hướng dẫn phần mềm sang các hướng dẫn phần cứng được thực hiện trên CPU.



CÓ LIÊN QUAN: UEFI là gì và nó khác với BIOS như thế nào?

Tại sao Phần mềm cơ sở UEFI cần Cập nhật Bảo mật

Vài năm gần đây đã cho thấy lý do tại sao phần sụn UEFI cần cập nhật bảo mật kịp thời.



Quảng cáo

Tất cả chúng ta đã học về Quang phổ vào năm 2018, cho thấy các vấn đề kiến ​​trúc nghiêm trọng với các CPU hiện đại. Các vấn đề với thứ gọi là thực thi suy đoán có nghĩa là các chương trình có thể thoát khỏi các hạn chế bảo mật tiêu chuẩn và đọc các vùng an toàn của bộ nhớ. Các bản sửa lỗi cho Spectre cập nhật vi mã CPU cần thiết để hoạt động chính xác. Điều đó có nghĩa là các nhà sản xuất PC phải cập nhật tất cả các máy tính xách tay và máy tính để bàn của họ — và các nhà sản xuất bo mạch chủ phải cập nhật tất cả các bo mạch chủ của họ — với chương trình cơ sở UEFI mới có chứa vi mã được cập nhật. PC của bạn không được bảo vệ đầy đủ trước Spectre trừ khi bạn đã cài đặt bản cập nhật chương trình cơ sở UEFI. AMD cũng đã phát hành các bản cập nhật vi mã để bảo vệ các hệ thống có bộ xử lý AMD khỏi các cuộc tấn công của Spectre, vì vậy đây không chỉ là vấn đề của Intel.

Công cụ quản lý của Intel đã chứng kiến ​​một số lỗi bảo mật điều đó có thể cho phép kẻ tấn công có quyền truy cập cục bộ vào máy tính bẻ khóa phần mềm Công cụ quản lý hoặc để kẻ tấn công có quyền truy cập từ xa gây ra rắc rối. May mắn thay, việc khai thác từ xa chỉ ảnh hưởng đến các doanh nghiệp đã bật Công nghệ quản lý tích cực của Intel (AMT), vì vậy người tiêu dùng bình thường không bị ảnh hưởng.

Đây chỉ là vài ví dụ. Các nhà nghiên cứu cũng đã chứng minh rằng có thể lạm dụng firmware UEFI trên một số PC, sử dụng nó để truy cập sâu vào hệ thống. Họ thậm chí đã chứng minh ransomware dai dẳng đã giành được quyền truy cập vào chương trình cơ sở UEFI của máy tính và chạy từ đó.

Ngành công nghiệp nên cập nhật chương trình cơ sở UEFI của mọi máy tính giống như bất kỳ phần mềm nào khác để giúp bảo vệ khỏi những sự cố này và các lỗi tương tự trong tương lai.

CÓ LIÊN QUAN: Cách kiểm tra xem PC hoặc điện thoại của bạn có được bảo vệ trước Meltdown và Spectre hay không

Quá trình cập nhật đã bị hỏng như thế nào trong nhiều năm

Quá trình cập nhật BIOS đã mãi mãi là một mớ hỗn độn — kể từ rất lâu trước khi có UEFI. Theo truyền thống, các máy tính được vận chuyển với BIOS kiểu cũ đó và ít có thể xảy ra sai sót hơn. Các nhà sản xuất PC có thể xuất xưởng một số Cập nhật BIOS để khắc phục các sự cố nhỏ, nhưng lời khuyên thông thường là tránh cài đặt chúng nếu PC của bạn hoạt động bình thường. Bạn thường phải khởi động từ ổ đĩa DOS có khả năng khởi động để cập nhật BIOS và mọi người đã nghe những câu chuyện về việc cập nhật BIOS không thành công và làm nghẽn PC, khiến chúng không thể khởi động được.

Mọi thứ đã thay đổi. Phần sụn UEFI làm được nhiều hơn thế và Intel đã phát hành một số bản cập nhật lớn cho những thứ như vi mã CPU và Intel ME trong vài năm qua. Bất cứ khi nào Intel phát hành một bản cập nhật như vậy, tất cả những gì Intel có thể làm là hỏi nhà sản xuất máy tính của bạn. Nhà sản xuất máy tính của bạn — hoặc nhà sản xuất bo mạch chủ, nếu bạn xây dựng PC của riêng mình — phải lấy mã từ Intel và tích hợp nó vào phiên bản phần sụn UEFI mới. Sau đó, họ phải kiểm tra phần sụn. Ồ, và mỗi nhà sản xuất phải lặp lại quá trình này cho từng PC mà họ bán, vì chúng đều có phần sụn UEFI khác nhau. Đó là loại công việc thủ công đã tạo ra Điện thoại Android rất khó để cập nhật trong quá khứ.

Quảng cáo

Trên thực tế, điều này có nghĩa là thường mất nhiều thời gian — nhiều tháng — để nhận được các bản cập nhật bảo mật quan trọng phải được gửi qua UEFI. Điều đó có nghĩa là các nhà sản xuất có thể sẽ nhún vai và từ chối cập nhật những chiếc PC chỉ mới vài năm tuổi. Và, ngay cả khi nhà sản xuất phát hành bản cập nhật, những bản cập nhật đó thường được chôn trên trang web hỗ trợ của nhà sản xuất đó. Hầu hết người dùng PC sẽ không bao giờ phát hiện ra các bản cập nhật chương trình cơ sở UEFI đó tồn tại và cài đặt chúng, vì vậy những lỗi này sẽ tồn tại trong các PC hiện có trong một thời gian dài. Và một số nhà sản xuất vẫn yêu cầu bạn cài đặt các bản cập nhật chương trình cơ sở bằng cách khởi động vào DOS đầu tiên — chỉ để làm cho nó thêm phức tạp.

Mọi người đang làm gì về nó

Đó là một mớ hỗn độn. Chúng tôi cần một quy trình hợp lý để các nhà sản xuất có thể dễ dàng tạo các bản cập nhật firmware UEFI mới hơn. Chúng tôi cũng cần một quy trình tốt hơn để phát hành các bản cập nhật đó, để người dùng có thể tự động cài đặt chúng trên PC của họ. Hiện tại, quá trình này diễn ra chậm và thủ công — nó phải nhanh và tự động.

Đó là những gì Microsoft đang cố gắng thực hiện với Project Mu. Đây là cách tài liệu chính thức giải thích nó:

Mu được xây dựng dựa trên ý tưởng rằng việc vận chuyển và bảo trì sản phẩm UEFI là sự hợp tác liên tục giữa nhiều đối tác. Trong thời gian quá dài, ngành công nghiệp đã chế tạo các sản phẩm bằng cách sử dụng mô hình fork kết hợp với sao chép / dán / đổi tên và với mỗi sản phẩm mới, gánh nặng bảo trì tăng lên đến mức gần như không thể cập nhật do chi phí và rủi ro.

Dự án Mu là tất cả về việc giúp các nhà sản xuất PC tạo và kiểm tra các bản cập nhật UEFI nhanh hơn bằng cách hợp lý hóa quy trình phát triển UEFI và giúp mọi người làm việc cùng nhau. Hy vọng rằng đây là phần còn thiếu, vì Microsoft đã giúp các nhà sản xuất PC tự động gửi các bản cập nhật firmware UEFI của họ cho người dùng dễ dàng hơn.

Cụ thể, Microsoft cho phép các nhà sản xuất PC đưa ra các bản cập nhật chương trình cơ sở thông qua Windows Update và đã cung cấp tài liệu về điều này ít nhất kể từ năm 2017. Microsoft cũng đã công bố Cập nhật chương trình cơ sở thành phần ; một mô hình mã nguồn mở mà các nhà sản xuất có thể sử dụng để cập nhật UEFI và các chương trình cơ sở khác, trở lại vào tháng 10 năm 2018. Nếu các nhà sản xuất PC chấp nhận điều này, họ có thể cung cấp các bản cập nhật chương trình cơ sở cho tất cả người dùng của họ rất nhanh chóng.

Đây không chỉ là một thứ của Windows. Trên Linux, các nhà phát triển đang cố gắng giúp các nhà sản xuất PC phát hành các bản cập nhật UEFI dễ dàng hơn với LVFS , Dịch vụ phần mềm chương trình cơ sở của nhà cung cấp Linux. Các nhà cung cấp PC có thể gửi các bản cập nhật của họ và chúng sẽ xuất hiện để tải xuống trong ứng dụng Phần mềm GNOME, được sử dụng trên Ubuntu và nhiều bản phân phối Linux khác. Nỗ lực này bắt đầu từ năm 2015. Các nhà sản xuất PC như Dell và Lenovo đang tham gia.

Quảng cáo

Các giải pháp này cho Windows và Linux còn ảnh hưởng nhiều hơn đến các bản cập nhật UEFI. Các nhà sản xuất phần cứng có thể sử dụng chúng để cập nhật mọi thứ từ chương trình cơ sở chuột USB đến chương trình cơ sở ổ đĩa thể rắn trong tương lai.

Như SwiftOnSecurity đặt nó khi nói về sự cố với mã hóa và chương trình cơ sở ổ đĩa thể rắn , các bản cập nhật phần sụn có thể đáng tin cậy. Chúng ta cần mong đợi tốt hơn từ các nhà sản xuất phần cứng.

Tín dụng hình ảnh: Intel , Natascha Eibl , kubais /Shutterstock.com.

ĐỌC TIẾP
  • & rsaquo; Thứ Hai điện tử năm 2021: Ưu đãi công nghệ tốt nhất
  • & rsaquo; Chống rơi MIL-SPEC là gì?
  • & rsaquo; Thư mục Máy tính là 40: Ngôi sao Xerox đã tạo ra màn hình như thế nào
  • & rsaquo; Hàm so với Công thức trong Microsoft Excel: Sự khác biệt là gì?
  • & rsaquo; Cách tìm Spotify của bạn được gói vào năm 2021
  • & rsaquo; 5 trang web Mọi người dùng Linux nên đánh dấu
Ảnh hồ sơ của Chris Hoffman Chris Hoffman
Chris Hoffman là Tổng biên tập của How-To Geek. Anh ấy đã viết về công nghệ trong hơn một thập kỷ và là người phụ trách chuyên mục của PCWorld trong hai năm. Chris đã viết cho The New York Times, được phỏng vấn với tư cách là một chuyên gia công nghệ trên các đài truyền hình như Miami's NBC 6, và công việc của anh ấy đã được các hãng tin như BBC đưa tin. Kể từ năm 2011, Chris đã viết hơn 2.000 bài báo đã được đọc gần một tỷ lần --- và đó chỉ là ở đây tại How-To Geek.
Đọc đầy đủ tiểu sử

Bài ViếT Thú Vị