微星主板的 Secure Boot 形同虚设:只为满足微软 Win11 需要,存在运行恶意代码风险

1 月 22 日音讯,平安专家发明局部微星主板上的 BIOS / UEFI 固然供给了 Secure Boot,但只是为了满意运转 零碎的请求。即使用户挑选启用 Secure Boot,实践上仍处于禁用形态,意味着存正在运转歹意硬件风险。

正在受影响的微星主板上供给了开启 / 封闭 Secure Boot 功用的选项,Image Execution Policy 的默许值为“Always Execute”。但成绩是开启那项功用以后并已反省指导的操纵零碎镜像,因而能够指导已经署名的组件。

平安专家达维德・波托克(Dawid Potock)写讲:

中文国际小教室:

平安启动是电脑止业成员开辟的一种平安规范,用于协助确保装备仅运用受本初装备制作商 (OEM) 信赖的硬件停止启动。当电脑启动时,固件会反省每一个启动硬件片断的署名,包罗 UEFI 固件驱动顺序(也称为选项 ROM)、EFI 使用顺序战操纵零碎。假如署名无效,则电脑将会启动,而固件会将掌握权转递给操纵零碎。

OEM 可使用固件制作商供给的指令创立平安启动稀钥,并将其存储正在电脑固件中。增加 UEFI 驱动顺序时,借需求确保那些驱动顺序已署名并包括正在平安启动数据库中。

更新:

经网友提示,微星曾经做出。别的据 称,局部其他品牌主板的特定 BIOS 版本也有相似状况。

微星默许状况下启用 Secure Boot,并将“Always Execute”做为默许设置选项,以供给一个用户敌对的情况,许可多个终于用户灵敏天运用数千(或更多)组件构建他们的 PC 零碎,那些组件包罗他们的内置选项 ROM,包罗操纵零碎镜像,从而完成更下的兼容性设置。

关于下度存眷平安性的用户,他们依然能够脚动将‘Image Execution Policy’设置为‘Deny Execute’或其他选项去满意他们的平安需供。

为了呼应有闭预设 BIOS 设置的平安成绩的陈述,MSI 将为我们的主板推出新的 BIOS 文件,并将“Deny Execute”做为更下平安级此外默许设置。

微星借将正在 BIOS 中为终于用户保存一个功用完全的平安启念头造,以便他们能够依据本人的需求对其停止修正。

您可能还会对下面的文章感兴趣: