Una vulnerabilità UEFI impatta potenzialmente su centinaia di PC, aggiornare subito i firmware

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...re_128256.html

La società di sicurezza Eclypsium ha scoperto una vulnerabilità nell'UEFI SecureCore di Phoenix che interessa centinaia di sistemi con CPU Intel. Fortunatamente i produttori dovrebbero essere già corsi ai ripari.

Click sul link per visualizzare la notizia.

[silvanotrevi]

l'ho detto io che questi update di sicurezza li fanno per spiarci meglio e rubarci ancora meglio i nostri dati

le spacciano per patch da installare subito: Attenzione aggiornate immediatamente! ma in realtà secondo me ci rendono ancora più vulnerabili.

Ieri la news della vulnerabilità del wifi e aggiornate aggiornate! oggi la news della vulnerabilità di Uefi e aggiornate aggiornate! fra poco se ne viene anche Chrome con i suoi allarmi frequenti sul browser e aggiornate aggiornate! Ah raga, questi vogliono sapè ancora meglio quello che famo col pc. Io nun aggiorno niente, sto bene così grazie

[Sandro kensan]

Ma quindi il BIOS precedente all'EUFI era più sicuro di quest'ultimo? Certo meno potente ma non mi risulta fosse facile per un virus intaccare il BIOS, invece pare sia molto facile intaccare l'UEFI e avviarsi prima del kernel.

Se non ho detto una corbelleria (cosa possibilissima): non era meglio il BIOS?

[AlexSwitch]

O Silvano hai perso un'altra occasione per fare qualcosa di più utile piuttosto che scrivere commenti senza senso come questo... Ora ci mancava anche " l'update conspiracy "...

[silvanotrevi]

Quote:

Originariamente inviato da AlexSwitch

O Silvano hai perso un'altra occasione per fare qualcosa di più utile piuttosto che scrivere commenti senza senso come questo... Ora ci mancava anche " l'update conspiracy "...

ma guarda che lo scopo è sempre quello: controllarci, controllarci, controllarci. Non fanno mai nulla per niente, anche quando risolvono problemi e fixano vulnerabilità. Ma è da sempre così. Però molta gente non se ne rende conto e quando ascoltano il Messo col megafono "Attenzione, aggiornate subito! Aggiornate!" si precipitano subito ad aggiornare, pensando di stare tranquilli e di aver risolto tutti i problemi. Non è cosi. E' giusto per far aprire gli occhi alla gente. Nella scienza dell'informazione non c'è mai da stare al sicuro. Resti comunque in qualche modo fregato, anche con una patch correttiva, che però ti incasina qualche altra cosa da qualche altra parte e ti leaka altri dati che prima erano invece al sicuro.

[corgiov]

Da quanto tempo era noto? Me lo domando perché noto che c'è un nuovo BIOS per la mia scheda madre, in versione Beta, datato 29 gennaio 2024. Prima di pochi giorni fa il BIOS più recente scaricabile era datato 14 aprile 2022 (avevo controllato all'inizio di giugno).

[matrix83]

Quote:

Originariamente inviato da silvanotrevi

ma guarda che lo scopo è sempre quello: controllarci, controllarci, controllarci. Non fanno mai nulla per niente, anche quando risolvono problemi e fixano vulnerabilità. Ma è da sempre così. Però molta gente non se ne rende conto e quando ascoltano il Messo col megafono "Attenzione, aggiornate subito! Aggiornate!" si precipitano subito ad aggiornare, pensando di stare tranquilli e di aver risolto tutti i problemi. Non è cosi. E' giusto per far aprire gli occhi alla gente. Nella scienza dell'informazione non c'è mai da stare al sicuro. Resti comunque in qualche modo fregato, anche con una patch correttiva, che però ti incasina qualche altra cosa da qualche altra parte e ti leaka altri dati che prima erano invece al sicuro.

Facebook è quello blu.

[yuribian]

purtroppo il mio portatile (Amd 5600h + rtx 3060) non viene più aggiornato da ottobre 2022, non escono più aggiornamenti BIOS, nemmeno più aggiornamenti drivers video, audio, nulla. E quindi pur volendo aggiornare, io non posso farlo.

[coschizza]

Quote:

Originariamente inviato da silvanotrevi

l'ho detto io che questi update di sicurezza li fanno per spiarci meglio e rubarci ancora meglio i nostri dati

le spacciano per patch da installare subito: Attenzione aggiornate immediatamente! ma in realtà secondo me ci rendono ancora più vulnerabili.

Ieri la news della vulnerabilità del wifi e aggiornate aggiornate! oggi la news della vulnerabilità di Uefi e aggiornate aggiornate! fra poco se ne viene anche Chrome con i suoi allarmi frequenti sul browser e aggiornate aggiornate! Ah raga, questi vogliono sapè ancora meglio quello che famo col pc. Io nun aggiorno niente, sto bene così grazie

ci mancava il complottista della domenica

[coschizza]

Quote:

Originariamente inviato da Sandro kensan

Ma quindi il BIOS precedente all'EUFI era più sicuro di quest'ultimo? Certo meno potente ma non mi risulta fosse facile per un virus intaccare il BIOS, invece pare sia molto facile intaccare l'UEFI e avviarsi prima del kernel.

Se non ho detto una corbelleria (cosa possibilissima): non era meglio il BIOS?

il bios era un misero firmware il uefi è un intero sistema operativo è ovvio che è meno sicuro non potrebbe essere diversamente. E non ci si puo fare niente se non patcharlo regolarmente

[DjLode]

Quote:

Originariamente inviato da yuribian

purtroppo il mio portatile (Amd 5600h + rtx 3060) non viene più aggiornato da ottobre 2022, non escono più aggiornamenti BIOS, nemmeno più aggiornamenti drivers video, audio, nulla. E quindi pur volendo aggiornare, io non posso farlo.

Per i driver video puoi usare i driver Nvidia scaricandoli direttamente dal sito, sicuramente non aspettarti grossi miglioramenti essendo una scheda piuttosto vecchia (ho la stessa gpu). Puoi provare a fare la stessa cosa anche per l'audio andando direttamente sul sito del produttore.
Per il bios effettivamente se non lo rende disponibile chi ha fatto il tuo portatile la vedo grigia... magari esce tra poco per correggere questa vulnerabilità.

[Okkau]

Quote:

Originariamente inviato da silvanotrevi

ma guarda che lo scopo è sempre quello: controllarci, controllarci, controllarci. Non fanno mai nulla per niente, anche quando risolvono problemi e fixano vulnerabilità. Ma è da sempre così. Però molta gente non se ne rende conto e quando ascoltano il Messo col megafono "Attenzione, aggiornate subito! Aggiornate!" si precipitano subito ad aggiornare, pensando di stare tranquilli e di aver risolto tutti i problemi. Non è cosi. E' giusto per far aprire gli occhi alla gente. Nella scienza dell'informazione non c'è mai da stare al sicuro. Resti comunque in qualche modo fregato, anche con una patch correttiva, che però ti incasina qualche altra cosa da qualche altra parte e ti leaka altri dati che prima erano invece al sicuro.

Ammettendo anche che fosse verò, la mole di dati da gestire ogni giorno sarebbe "gozziliardesca", sia da visionare che da archiviare.

[yuribian]

Quote:

Originariamente inviato da DjLode

Per i driver video puoi usare i driver Nvidia scaricandoli direttamente dal sito, sicuramente non aspettarti grossi miglioramenti essendo una scheda piuttosto vecchia (ho la stessa gpu). Puoi provare a fare la stessa cosa anche per l'audio andando direttamente sul sito del produttore.
Per il bios effettivamente se non lo rende disponibile chi ha fatto il tuo portatile la vedo grigia... magari esce tra poco per correggere questa vulnerabilità.

si ho provato ad usare i driver generici Geforce dal sito Nvidia, vanno benino però soffre di flickering frequente su tutti i giochi. Invece con i driver Geforce ufficiali del mio portatile (gli ultimi sono di ottobre 2022) non c'è nessun glith o artefatto video però con alcuni giochi recenti non sono compatibili e i giochi non partono.
Per quanto riguarda invece BIOS o firmware, purtroppo nessun aggiornamento da ottobre 2022, niente di niente, nemmeno quando un annetto fa ci fu un'altra falla di sicurezza grave e ne parlarono anche qui.

[DjLode]

Quote:

Originariamente inviato da yuribian

si ho provato ad usare i driver generici Geforce dal sito Nvidia, vanno benino però soffre di flickering frequente su tutti i giochi. Invece con i driver Geforce ufficiali del mio portatile (gli ultimi sono di ottobre 2022) non c'è nessun glith o artefatto video però con alcuni giochi recenti non sono compatibili e i giochi non partono.

Questo è molto molto strano... perchè anche gli ufficiali della marca del tuo portatile sono sicuramente dei driver Nvidia. Fossi in te ci riproverei installandoli da capo.

[silvanotrevi]

Quote:

Originariamente inviato da Okkau

Ammettendo anche che fosse verò, la mole di dati da gestire ogni giorno sarebbe "gozziliardesca", sia da visionare che da archiviare.

Il caso Snowden ci ha insegnato che non solo questo è possibile ma che lo hanno già fatto. I governi hanno "sete" di sorveglianza di massa. Ogni nostra minima attività viene monitorata e archiviata. Non è difficile. Per quanto riguarda il "visionare" il materiale, questo viene fatto solo se necessario quindi ovviamente non in tutti i casi. Ma hanno comunque i nostri dati archiviati nei loro clouds, e possono disporne quando vogliono.

E poi c'è qualcosa come Recall che fa uno screenshot ogni 5 secondi di ogni nostra attività sul pc. Quindi si, siamo veramente e fortemente esposti. Sanno tutto di noi. Devono solo decidere quando è il caso di usare quello che sanno di noi, quello che hanno archiviato di noi, e in quale circostanza.
Ma hanno già un potere enorme nelle loro mani. E ogni volta che si aggiorna qualcosa, che si fixa qualcosa, che si patcha qualcosa, c'è sempre un data leakage da qualche parte, nuovo, ulteriore, inconsueto. Bisogna pensare ai fix e alle patch come a degli interventi in ospedale, dove ti risolvono un problema (ti ingessano una gamba) ma te ne causano un altro che spesso può essere letale (infezione contratta in ospedale antibiotico-resistente e che può condurre anche alla morte).

[Totix92]

Quote:

Originariamente inviato da yuribian

purtroppo il mio portatile (Amd 5600h + rtx 3060) non viene più aggiornato da ottobre 2022, non escono più aggiornamenti BIOS, nemmeno più aggiornamenti drivers video, audio, nulla. E quindi pur volendo aggiornare, io non posso farlo.

Per gli aggiornamenti dei driver video, audio ecc. se aspetti il produttore del notebook stai fresco, devi scaricarli e installarli direttamente dal sito del produttore del singolo componente, driver Nvidia dal sito Nvidia, driver del chipset e della gpu AMD dal sito AMD ecc.
Dubito seriamente che un notebook come il tuo che non è vecchio non riceve più aggiornamenti dei drivers.
Il mio Lenovo T450 ne riceve ancora a distanza di anni, anche se non per tutte le componenti, e si tratta di un notebook del 2015.

[Ataru224]

Quote:

Originariamente inviato da coschizza

il bios era un misero firmware il uefi è un intero sistema operativo è ovvio che è meno sicuro non potrebbe essere diversamente. E non ci si puo fare niente se non patcharlo regolarmente

Peccato che dopo qualche anno non vengono più rilasciati aggiornamenti e quindi rimangono falle aperte per sempre.

A volte la semplicità paga, il BIOS tradizionale ha tutto quello di cui si ha bisogno.

[yuribian]

Quote:

Originariamente inviato da Totix92

Dubito seriamente che un notebook come il tuo che non è vecchio non riceve più aggiornamenti dei drivers.
Il mio Lenovo T450 ne riceve ancora a distanza di anni, anche se non per tutte le componenti, e si tratta di un notebook del 2015.

purtroppo è cosi credimi. Tu hai un notebook Lenovo che offre grande assistenza post vendita. Io invece ho Gigabyte che se ne frega assolutamente di fare aggiornamenti e tutto è fermo al 2022, non si trovano drivers aggiornati dopo quella data, né bios né firmware. La prova di quanto dico:

[DelusoDaTiscali]

Ormai non resta che rassegnarsi dopo le effrazioni ai sistemi bancari (furono estratti se ben ricordo "solo" (!) dati personali dei clienti) di qualche anno fa e quello recente al sistema sanità della Regione Lazio si è aggiunto il furto massivo di dati personali (nominativi, codice fiscale, telefonini, numero docomento...) al mercatino dell' usato...

...ormai i miei dati personali sono in offerta speciale 3x2 nel dark web e non solo!

[zappy]

Quote:

Originariamente inviato da Sandro kensan

Ma quindi il BIOS precedente all'EUFI era più sicuro di quest'ultimo? Certo meno potente ma non mi risulta fosse facile per un virus intaccare il BIOS, invece pare sia molto facile intaccare l'UEFI e avviarsi prima del kernel.

Se non ho detto una corbelleria (cosa possibilissima): non era meglio il BIOS?

certamente il BIOS era molto più sicuro.
ma i fanatici del "progresso" hanno spinto UEFI e ora c'è un (?) punto di attacco in più...