https://opennet.dev/openforum/vsluhforumID3/131686.html В драйвере, обеспечивающем работу с файловой системой NTFS в загрузчике GRUB2, выявлена уязвимость (CVE-2023-4692), позволяющая организовать выполнение своего кода на уровне загрузчика при обращении к специально оформленному образу файловой системы. Уязвимость может применяться для обхода механизма верифицированной загрузки UEFI Secure Boot...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59868<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#111 Fri, 06 Oct 2023 17:32:32 GMT У меня мамка и ноут годов 2011-2013ых примерно. И оба имеют загрузку апдейтов с харда. Так что, да, бывают.<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#110 Fri, 06 Oct 2023 15:34:48 GMT &gt; Давайте разбираться. Если у вас диск в NTFS, то драйвер NTFS есть <br>&gt; в: <br>&gt; - BIOS/EFI <br><br>Вот там он по желанию производителя железа и чаще нет, чем есть.<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#109 Fri, 06 Oct 2023 15:33:52 GMT &gt; Вот-вот. На дворе третий десяток 21 века, а они всё со своими <br>&gt; компами сидят. Да ещё и устанавливают на них непойми что.<br><br>Детишки, надресированные смартфонами?<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#108 Fri, 06 Oct 2023 14:46:20 GMT &gt; Не перепутываем. Secure Boot ИМЕННО для предотвращения таких ситуаций и создавался.<br><br>От ситуаций, когда подписанный код оказывается дырявым? Ишь ты! Вот это действительно секретные технологии будущего.<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#107 Fri, 06 Oct 2023 08:34:30 GMT Не теоремы, а аксиомы<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#106 Fri, 06 Oct 2023 08:31:48 GMT &gt; Точнее, это блоб наружу рассказывает что оно удаляется. Что он там по <br>&gt; факту делает - а кто его там знает? Доверять куску блоба <br>&gt; в самом критичном месте - не умное занятие.<br><br>Берёшь блоб, берёшь ida pro, пихаешь первый во второй, и уже имеешь примерное представление как в нём это реализовано. У того же asus даже часть символов в блобе видна.<br><br>А сертификат microsoft проверить просто - вставь установщик винды, и проверь, запускается ли.<br><br>&gt; А если совсем не получается, саботировать работу железки в хламину.<br><br>Ну вот secure boot и есть тот саботаж - воришка врятли сможет его обойти, а без него материнка никакую систему поставить не позволит.<br><br>&gt; Как по мне так он сам по себе почти бэкдор и кусок <br>&gt; проблем. Во всяком случае в исполнении Wintel'я, из них защитники кого-то <br>&gt; от проблем - как из крышевателя ларьков. Видал я таких защитников. <br><br>Если оно не делает хуже, то почему бы и не пользоваться?) Включение secure boot не может же новых уязвимостей открывать, если бекдор где-то есть, то он будет https://opennet.dev/openforum/vsluhforumID3/131686.html#105 Fri, 06 Oct 2023 04:37:08 GMT &gt;&gt; 2) По дефолту встроены ключи всяких микросаксов.<br>&gt; Они удаляются <br><br>Точнее, это блоб наружу рассказывает что оно удаляется. Что он там по факту делает - а кто его там знает? Доверять куску блоба в самом критичном месте - не умное занятие.<br><br>&gt;&gt; 3) То что оно и правда удалило все лишнее и будет вести себя культурно - в<br>&gt;&gt; блобе джентльменам придется верить на слово.<br>&gt; Если у тебя есть поддержка coreboot (А она должна быть, если ты на самом деле<br>&gt; опасаешься закладок), то coreboot также имеет возможность проверять подписи.<br><br>Во первых это довольно большое если - какой процент железок коребут поддерживает? Во вторых, либребут и проч появились потому что коребут фуфло гонит и прогнулся под блобмейкеров с их AGESA и FSP. И вот какие гарантии что в этом счастье бэкдоров нет - опять же вопрос.<br><br>В итоге получается сложно, хреново и - никто ничего никому не гарантирует. А если совсем вырубить ME не дав ему плюшку, он систему зашатдаунит через полчаса вообще.<br><br>&gt; Так то если подумать, то это всё не так уж и п https://opennet.dev/openforum/vsluhforumID3/131686.html#104 Fri, 06 Oct 2023 04:29:26 GMT &gt; Так ведь и люди проигрывали заодно с эльфами, что расходится с финалом <br>&gt; оригинала. Хотя и само по себе выкидывание главного ништяка ради спасения <br>&gt; мира, предпринятое персонажем-пустышкой - это всё равно что афроамериканский квадрат разместить <br>&gt; среди шедевров. Главное, что бы эксперты хором говорили о гениальности автора, <br>&gt; тогда пипл схавает и придёт в магазин за следующим томом.<br><br>Что там у вас, нету пендальфа который укатает всем без разбора как следует? Воооон тех попросите, они дадут мастеркласс как файрболы, ну или что там по сценарию, кидать.<br> https://opennet.dev/openforum/vsluhforumID3/131686.html#103 Fri, 06 Oct 2023 02:23:47 GMT &gt; 2) По дефолту встроены ключи всяких микросаксов.<br><br>Они удаляются<br><br>&gt; 3) То что оно и правда удалило все лишнее и будет вести себя культурно - в блобе джентльменам придется верить на слово.<br><br>Если у тебя есть поддержка coreboot (А она должна быть, если ты на самом деле опасаешься закладок), то coreboot также имеет возможность проверять подписи.<br><br>Так то если подумать, то это всё не так уж и полезно, если ноут украдут то надёжнее будет иметь полное шифрование диска с требованием ввода пароля при каждом запуске (=без автоматической расшифровки, про что и есть эта новость)<br>Однако лишняя защита от возможности того, что у тебя в EFI разделе оказались какие-то не те бинарники (Как они туда могут попасть - другой вопрос) всё же должна быть, и secure boot тут достаточен.<br>