Intel CPU漏洞持续发酵:厂商集体升级固件封杀

by admin on 2020年3月23日

6 日,fwupd 作者,同时也是 GNOME 维护者的 Richard Hughes 在 GNOME
博客上发布文章欢迎联想加入
LVFS。

Linux Vendor Firmware Service
-Linux供应商固件服务提供了来自许多不同厂商和各种设备的系统BIOS/固件文件,以便硬件可以在Linux下查看固件更新并通过Fwupd进行更新,它提供了超过500多万个固件映像。

图片 1

图片 2

多年来,Fwupd/LVFS以及其他有趣的Linux桌面项目背后的首席开发人员Richard
Hughes讲述了这个有趣的故事。作为管理邮件列表帖子的一部分,他提到LVFS已经向最终用户提供了500多万个固件文件。

Intel的ME管理引擎大家的主板上都有,也没有人在意这是干什么用的,然而现在因为它却曝出了不晓得安全隐患问题。

LVFS(Linux Vendor Firmware Service,Linux 供应商固件服务)是一种安全的
Web 服务,允许硬件供应商(包括 OEM 和 ODM)上传其固件更新,Linux
发行版用户通过 fwupdmgr 与 GNOME 软件等客户端获取固件元数据。LVFS
仅进行供应商固件重分发,相应固件更新的具体发行说明还需要依赖供应商编写。LVFS
目前支持 270 个设备,有 709 个可用固件版本。

图片 3

幸运的是,厂商们已经开始站出来解决问题了。

Richard 表示,联想加入 LVFS
之后,在未来几周内,成千上万的人可能会获得联想的固件更新,几个月后这个数字可能会达到数十万人。他还表示在接下来几周时间内,LVFS
将会把许多不同型号的固件从测试和禁用状态变更到稳定版本状态,但是只支持最近生产的
UEFI
硬件,具体支持列表可以在这里查看:

这是一个相当大的成就,主要是针对Linux的桌面设备,硬件供应商继续加入平台,主要的OEM厂商,如HP才刚刚开始他们的新产品,而一些Linux发行版直到最近才推出Fwupd/LVFS集成。

迄今为止,共有三家PC厂商、三家主板厂商提供了解决方案,允许用户购买没有Intel
ME管理引擎的产品,或者对固件进行升级从而禁用ME技术。

Richard 还说明了将联想带到 LVFS
所做的一些工作,他说在过去的几个月里,他一直在与联想的合作伙伴以及联想内部的
ThinkPad、ThinkStation 和 ThinkCenter
小组合作,希望在大量不同型号的硬件上实现自动固件更新。由于各种供应商定义的原因,需要更改低级别的
fwupdate 库、fwupd 甚至 LVFS
管理门户本身。目前也仍然在调试一些剩余的问题,并且还在努力使更新的元数据质量更好。这一切都不容易,Richard
希望用户在体验中有什么问题不要指责他与联想。 

选择HP系统,对ATA设备微代码更新的初始支持,Star Labs
systems的覆盖范围,以及Phoenix
Tech加入LVFS都是今年到目前为止LVFS/Fwupd的里程碑。LVFS正在继续发展成为一个Linux基金会项目。看看今年LVFS还有哪些令人兴奋的里程碑。

Intel ME管理引擎相当于一个秘密操作系统,安装在主Intel
CPU之内,独立运行,不会受到用户主OS的影响,有独立的进程、线程、内存管理器、硬件总线驱动器、文件系统及其它组成部分。

另外,Richard 还表示所有的测试都是使用全新版本的 Fedora 28
workstation 进行的,并提醒用户先禁用 BootOrder
锁定。

攻击者可以利用漏洞控制ME,进而控制整个计算机。

随着联想的加入,LVFS 覆盖范围变得更广,Richard
还在文中调侃惠普,告知它已经迟到了,言外之意是希望惠普也尽快加入 LVFS
大军。

第一家采取行动的公司名叫Purism,自称是一家自由计算机制造商,早在10月份就采取行动,比Intel公布消息还早了将近一个月,借鉴其他人找到禁用Intel
ME的方法,然后优化改进,部署到旗下产品上。

图片 4

Purism表示:要找到方法禁用ME不是一件容易的事,安全研究人员要花很多年才能找到办法真正禁用它。现在用户可以购买Librem
13和Librem 15产品,默认状态下它们的ME是禁用的。

(文/开源中国)    

定制Linux PC设备厂商System
76也采取了行动,会自动提供升级固件,可以在Intel
6代、7代、8代笔记本上禁用ME。

另外,在戴尔官网上,客户也可以购买没有ME的Intel整机,但需要额外付费。

主板厂商方面,华硕、技嘉、微星也都发布了新的BIOS,旗下的100/200/300系列主板都可以更新修补漏洞。

另外,宏碁、富士通、惠普、联想、松下等厂商也都承诺会升级固件,修复漏洞。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图