OpenForum RSS: Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... https://www.opennet.me/openforum/vsluhforumID3/108460.html Дмитрий Олексюк в процессе изучения (http://blog.cr4.sh/2016/06/exploring-and-exploiting-lenovo.html) прошивки ноутбука Lenovo ThinkPad T450s выявил серьёзную уязвимость (https://github.com/Cr4sh/ThinkPwn) в реализации UEFI, позволяющую выполнить код в режиме SMM (https://ru.wikipedia.org/wiki/System_Management_Mode) (System Management Mode), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и имеющим неограниченный доступ ко всей системной памяти. Выполнение кода в режиме SMM позволяет отключить блокировку записи в Flash и модифицировать прошивку для отключения проверки Secure Boot или обхода ограничений гипервизора.<br><br><br><br>Изначально проблема появилась в эталонном коде прошивки для восьмой серии чипсета Intel, после чего была перенесена в прошивки Lenovo и других производителей. При этом в оригинальных прошивках Intel проблема была устранена ещё в 2014 году. Кроме Lenovo проблема уже подтверждена в ноутбуках HP Pavilion и материнских платах Gigabyte. По данным (https://support.lenovo.com/ru/ Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (eSyr) https://www.opennet.me/openforum/vsluhforumID3/108460.html#149 Sun, 10 Jul 2016 11:30:20 GMT Ну да, гораздо проще UDF, например.<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/108460.html#148 Sat, 09 Jul 2016 02:05:45 GMT Во-первых, старые бивусы были намного слабее защищены и зачастую имели всякие дыры или даже бэкдоры. "Во-вторых" не будет, читайте статьи юзера CodeRush на хабре (это человек, который пишет эти ваши UEFI), а также комментарии к ним, оттуда можно узнать немало. До их прочтения я так же кукарекал в комментариях опеннета о том, что UEFI и/или Secure Boot нинужно и "опять M$".<br> Уязвимость в UEFI-прошивках -- выполнить код (sage) https://www.opennet.me/openforum/vsluhforumID3/108460.html#147 Fri, 08 Jul 2016 20:36:20 GMT Не понял вас. В BIOS вообще нет защиты от перезаписи флешки из ОС.<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/108460.html#146 Fri, 08 Jul 2016 12:55:40 GMT &gt; на русофобство можно не обращать внимания, <br>&gt; это просто его стиль изложения мыслей. <br><br>да как бы вся статья и написана в канве русофобии: неумелая попытка дискредитировать АК, мол де, русские ничего не умеют<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/108460.html#145 Fri, 08 Jul 2016 12:52:15 GMT слушай, клоун, такие постройки не то, чтобы сейчас невозможны, но и тогда тем более при тому уровне технической вооруженности, которую приписывают древним египтянам историки<br>дeбильные выводы всяких гуманитариев пусть останутся при них же<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/108460.html#144 Fri, 08 Jul 2016 12:48:09 GMT надо не бороться, а распространять информацию<br>пусть люди сами думают, насколько умеют, и делают соответствующие выводы<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/108460.html#143 Fri, 08 Jul 2016 12:45:22 GMT то есть если начать продавать подобное устройство в составе своего продукта никто с патентами не набежит, точно-точно?<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (vi) https://www.opennet.me/openforum/vsluhforumID3/108460.html#142 Fri, 08 Jul 2016 10:06:18 GMT А как же перемычка на плате?<br>Или ВЫ скажете, что это не для "домохозяек"?<br>И да, с перемычкой должно стоить немного дороже. Но только на немного!<br>И не начинайте мне про то, что "Свобода" стоит дорого. Мы сейчас не о свободе.<br> Уязвимость в UEFI-прошивках, позволяющая выполнить код в реж... (vi) https://www.opennet.me/openforum/vsluhforumID3/108460.html#141 Fri, 08 Jul 2016 09:54:58 GMT &gt;&gt; вообще-то для того, чтобы доказать то, что рептилоидов нет нужно потратить огромное <br>&gt;&gt; количество сил, но вот то, что подавляющее большинство не сталкивается с <br>&gt;&gt; ними в процессе получения жизненного опыта вполне себе свершившийся факт <br>&gt; Только логика MS-хейтеров отталкивается от обратного: "Если рептилоидов никто не встретил <br>&gt; - это не доказывает того, что их нет. А значит пока <br>&gt; никто не опровергнет наш бред про их существование - будем считать, <br>&gt; что они есть и винить в этом MS" <br><br>Винить (ненавидеть) MS, это почти тоже самое (с точки зрения маркетинга (или чего еще)), что любить MS.<br>А вот относиться к MS трезво и рассудительно, это как мне кажется для MS не есть то, чего они хотят от потребителей своего ... продукта. Только Вы не подумайте ничего плохого, вместо трех точек КАЖДЫЙ (сам, без "маминой" помощи ;) должен записать в порядке приоритетов список, что для него в этом конкретном продукте хорошего, а что ну сами понимаете. <br>Другое дело это то, что выбор потребителя (если он вообще су