UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...er_104476.html

Ricercatori di sicurezza hanno scoperto 23 falle molto pericolose nel software di uno dei principali sviluppatori di BIOS. I problemi si riverberano quindi su numerose aziende che usano quel codice per realizzare il loro firmware UEFI.

Click sul link per visualizzare la notizia.

[Saturn]

Solo 23 ? Pensavo peggio...@microsoft dormi tranquilla se parliamo del tuo windows11 - lo installo dove mi pare, pc-mbr only compresi e alla sicurezza ci penso io....

[gomax]

E allora Micro$oft dovrà aggiustare il tiro con i requisiti per Windows 12. Suggerisco TPM 7.0.1 associato a un coprocessore crypto-quantico con banda minima di 1TB/s always-on-line. Lo faranno per noi e per la nostra "$icurezza".

Ciao

[sbaffo]

come si diceva nell'altra news, l'uefi è come l'uffico complicazioni affari semplici, se aumenti la superfice d'attacco ovvio che le vulnerabilità aumentano. Poi ci riempiono di secure-fuffa-tpm-ecc. tutti belli fo..tuti a monte dalle vulnerabilità uefi. E noi fessi tranquilli "tanto c'ho il secure qualcoss, anzi ne ho due, e l'antivirus dice tutt'appost..."

Pochi giorni fa c'era anche una news in cui distribuivano malware via Windows Update, non ricordo come facevano, ma con Pluton che si aggiorna proprio così saremmo fottuti...
ma è per la vostra sicurezzaHHH!!! si si, mi avete convintoH. e ci sono dei fulminati che li difendono!
edit: ecco la news (link alla fonte invece che a Tom's dove l'ho letta, per graziare Manolo):
https://blog.malwarebytes.com/threat...test-campaign/

[paolo cavallo]

o mio dio... andiamo bene ...... Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10 ............ i nostri computer in sicurezza sono come il TITANIC

[zappy]

e UEFI l'hanno fatto per "aumentare la sicurezza"....
più una cosa è pubblicizzata in un certo modo, più è l'esatto contrario...

[euscar]

Ma dipende dalla combinazione UEFI - W11 ?

Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino

[pistillo]

a me non mi fregate io continuo ad usare la mia agendina digitale casio

[Cappej]

Buffoni...
Veramente ridicoli...
Se c'è una cosa veramente odiosa è proprio UEFI, chi l'ha descritto come "ufficio complicazione affari semplici" ha azzeccato il concetto.
Il problema è che adesso lo aggiri bypassandolo e utilizzando Legacy, ma a breve (grazie M$ e win11) saranno tutti UEFI puro...
Sempre che le case di mainboard non facciano riottismo e, come per AVX-512, se ne sbattono delle indicazione di mamma M$, continuando a montare ibridi BIOS/UEFI.
Io mi sto dannando abbastanza su una macchina per assemblata HP che, cambiata scheda video, ho dovuto girarla su Legacy perché al UEFI sta sulle balle la nuova... E se resetto il BIOS...?
Bho... Vedremo
Imho

[aqua84]

Certo che 23 nuove falle, più quelle precedenti, più quasi sicuramente altre che verranno fuori in seguito fanno GIUSTAMENTE pensare che questo “piccolo” software sia fatto male dall’ inizio alla fine

[Sl4pb0t]

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd

Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !

[Sl4pb0t]

Seriamente, siete ancora qui ? andate a fare un pacco di soldi all' estero se siete così furbi, vi assumono al volo !

[zappy]

Quote:

Originariamente inviato da euscar

Ma dipende dalla combinazione UEFI - W11 ?

Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino

A quanto capisco, Win11 pretende UEFI e TPM, per cui in futuro il mercato hw "seguirà" le imposizioni di M$ a produrrà solo roba adatta a win11, quindi con 'sta merdata di firmware.

quanto al tuo salto, già fatto alla scadenza del supporto a 7

Quote:

Originariamente inviato da Phoenix2005

...la punta dell’iceberg: ci sarà da ridere quando Windows 11 inizierà ad avere la stessa quota di mercato che detiene ora Windows 10...

Non ho fatto in tempo a dirlo (link) anzi, a ribadirlo - visto che sono anni che lo scrivo - ed ecco apparire come per magia “solo” 23 nuove vulnerabilità made in UEFI:

Quote:

Originariamente inviato da Sl4pb0t

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?

tu potresti andare a farti un ripassino di italiano...
UEFI non serve a niente, il BIOS andava benissimo.

[Saturn]

Quote:

Originariamente inviato da Sl4pb0t

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd

Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !

Quote:

Originariamente inviato da Sl4pb0t

Seriamente, siete ancora qui ? andate a fare un pacco di soldi all' estero se siete così furbi, vi assumono al volo !

Amico mio, tranquillo che con l'uefi, secure boot, tpm e compagnia bella qui dentro molti di noi, per professione, ci mettono le mani tutti i giorni, e non sul computerino del centro commerciale ma su sistemi di virtualizzazione più o meno complessi, a seconda dei casi. Per il resto mi trovo bene dove sto, lavoro e lo stipendio è più che sufficiente e per quanto riguarda il resto del mondo visto che l'ho visitato, non dico tutto, ma una buona parte, non è così tanto superiore al bel paese come tanti lo dipingono...anzi...la qualità della vita che abbiamo noi molti se la sognano. Comunque non siamo all'osteria, eh...se qui siamo alterati con l'uefi è perchè qualcuno, senza fare nomi, ha come al solito fatto la solita "magra figura" facendo il "gradasso" pubblicizzando l'ultimo o.s. con dei requisiti da malati, in nome della sicurezza (e qualche altra feature relativa alla virtualizzazione altrimenti mi prendi per bifolco) quando all'atto pratico win11 gira perfettamente per uso ufficio persino su un dualcore del 2006 con 4 gb di ram e un ssd da 250 gb. Costo totale della macchina (usata) 80-100€ - invece no, tutto in discarica, anche alcuni Ryzen, se non fosse stato che l'utenza li ha mandati subito a quel paese, installando comunque dove voleva.

[coschizza]

Quote:

Originariamente inviato da zappy

UEFI non serve a niente, il BIOS andava benissimo.

il bios è ormai obsoleto vantati di volerlo usare nel 2022 rispetto al uefi che è superiore in feature e performance

[ceres-c]

Mi son dovuto registrare per commentare questa discussione perché veramente è al livello di chiacchiere al bar, non da forum "tecnico"

Il team Microsoft merda (tra l'altro: fa così 2007 scrivere winzoz e M$) sa che UEFI non è solo di MS? È un progetto di tutte le grandi aziende tech. Google lo usa persino nei suoi telefoni: viene usato per bootare Android, così come tantissimi altri dispositivi. E sì, UEFI è una soluzione sovra ingegnerizzata per un problema non facile, ed è anche stato un fallimento dal punto di vista della sicurezza perché nel progetto originario non erano definite funzionalità necessarie.

Però sapete cosa è SMM? Avete idea di come funziona davvero una CPU intel? Io ho reversato un po' di questa roba: è una shitfest. Il codice dei vendor fa schifo ed Insyde produce merda, ma pure EDK2 ha dentro perle di immondizia. SMM non c'entra nulla con UEFI: questi sono handler più a basso livello sotto e le vulnerabilità son state trovate lì (niente di nuovo). SMM esisteva da prima di UEFI, tirare fuori windows è non aver capito niente. Se davvero lavorate con queste cose cercate di andare oltre le osservazioni che potrebbe fare mio nonno al bar sui bei tempi passati e di come si stesse meglio quando si stava peggio.

Ultima cosa: no, BIOS non bastava più.

[coschizza]

Quote:

Originariamente inviato da ceres-c

Mi son dovuto registrare per commentare questa discussione perché veramente è al livello di chiacchiere al bar, non da forum "tecnico"

Il team Microsoft merda (tra l'altro: fa così 2007 scrivere winzoz e M$) sa che UEFI non è solo di MS? È un progetto di tutte le grandi aziende tech. Google lo usa persino nei suoi telefoni: viene usato per bootare Android, così come tantissimi altri dispositivi. E sì, UEFI è una soluzione sovra ingegnerizzata per un problema non facile, ed è anche stato un fallimento dal punto di vista della sicurezza perché nel progetto originario non erano definite funzionalità necessarie.

Però sapete cosa è SMM? Avete idea di come funziona davvero una CPU intel? Io ho reversato un po' di questa roba: è una shitfest. Il codice dei vendor fa schifo ed Insyde produce merda, ma pure EDK2 ha dentro perle di immondizia. SMM non c'entra nulla con UEFI: questi sono handler più a basso livello sotto e le vulnerabilità son state trovate lì (niente di nuovo). SMM esisteva da prima di UEFI, tirare fuori windows è non aver capito niente. Se davvero lavorate con queste cose cercate di andare oltre le osservazioni che potrebbe fare mio nonno al bar sui bei tempi passati e di come si stesse meglio quando si stava peggio.

Ultima cosa: no, BIOS non bastava più.

santo subito !

[Saturn]

Qui ci si impunta non sui "pregi" dell'uefi ma sul fatto che Microsoft lo imponga come REQUISITO insieme a SECURE BOOT E TPM !

Poi ovvio che le macchine fisiche o virtualizzate, Microsoft o distribuzioni Linux si installino utilizzando tutte le ultime possibilità che vengano offerte. É evidente che non si poteva andare avanti all'infinito con il bios classico.

Ma fin'ora solo Windows 11, magheggi ufficiali o non, impone i suddetti.

Il discorso è solo questo.

[zappy]

Quote:

Originariamente inviato da coschizza

il bios è ormai obsoleto vantati di volerlo usare nel 2022 rispetto al uefi che è superiore in feature e performance

AKA rootkit

[ceres-c]

Quote:

Originariamente inviato da Saturn

Qui ci si impunta non sui "pregi" dell'uefi ma sul fatto che Microsoft lo imponga come REQUISITO insieme a SECURE BOOT E TPM !

Poi ovvio che le macchine fisiche o virtualizzate, Microsoft o distribuzioni Linux si installino utilizzando tutte le ultime possibilità che vengano offerte. É evidente che non si poteva andare avanti all'infinito con il bios classico.

Ma fin'ora solo Windows 11, magheggi ufficiali o non, impone i suddetti.

Il discorso è solo questo.

No, qui non si parlava di Windows 11, si parlava di UEFI e di SMM. Windows 11 è stato tirato fuori a caso perché è sempre divertente prendersela con microsoft e fare i fanboy.
Ed io sono una che usa linux quotidianamente, ho Windows installato solo per i software di sviluppo di board strambe che funzionano solo su win e non voglio fare girare sotto wine/in VM. Il mio punto è: tutta questa discussione non ha senso di esistere ed è solo tifo da stadio, non ha niente a che vedere con le falle. Microsoft non ha alcuna responsabilità per come i vendor sviluppano i firmware, spingere per il TPM è una buona idea perché è una delle poche cose che può dare fastidio (molto fastidio) a chi scrive malware in firmware (vedasi boot chain firmata della HP). Non è la panacea, ma taglia oggettivamente fuori molti attacchi "facili". Gli state actor non verranno fermati, continueranno ad uscire attacchi estremamente creativi (ma poco applicabili) e non saranno risolti tutti i problemi, ma BIOS NON era una soluzione e Microsoft qui non c'entra niente. Non è difficile.

Tu sei esattamente come Sandro Curzi, fai della retorica insopportabile. Windows 11 potrebbe avviarsi senza TPM ma è inutile tirar fuori Windows 11, altrimenti io tiro fuori che Torvalds era uno stronzo, Stallman era una merda e i poveri dev kernel sono degli eroi. Che c'entra?
Forse era Sgarbi, ma non son sicuro.

Quote:

Originariamente inviato da zappy

AKA rootkit

Ecco, questo è parlare senza alcuna cognizione di causa, gg. Bella firma, molto appropriata devo dire.