Säkerhetsforskare upptäcker allvarlig sårbarhet i BIOS och UEFI

Vissa implementationer av BIOS/UEFI misslyckas med att aktivera skrivskyddet när datorn vaknar upp från vänteläge, vilket lämnar startmiljön öppet för angripare.

Det är inte enbart sårbarheter i populära program som öppnar upp för angrepp. Allt fler rapporter inkommer om att även vanliga datorkomponenter innehåller allvarliga säkerhetsbrister, där exempelvis USB-protokollet kritiseras för göra vissa typer av attacker nästintill omöjliga att upptäcka. Nu framkommer det att även UEFI befinner sig i riskzonen.

uefi.jpg

I en rapport från Carnegie Mellon University beskrivs en allvarlig sårbarhet i BIOS/UEFI. Vissa implementationer misslyckas med att aktivera skrivskydden för startmiljön när datorn vaknar upp från vänteläge (sleep). Felet kan således utnyttjas för att skriva till BIOS och exempelvis plantera skadlig kod.

An attacker is free to reflash the BIOS with an arbitrary image simply by forcing the system to go to sleep and wakes again. This bypasses the enforcement of signed updates or any other vendor mechanisms for protecting the BIOS from an arbitary reflash.

Säkerhetsforskare bekräftar att sårbarheten återfinns i datorer från Apple och Dell, som efter upptäckten publicerat uppdateringar för att rätta till problemet. Betydligt fler kan dock vara berörda, däribland Intel, HP, Lenovo, Sony, Toshiba, Asus samt BIOS-utvecklarna Phoenix och American Megatrends (AMI).

Kommentarer till artikeln

29 debattinlägg

Skicka en rättelse
19

Snabbtitt: Corsair One Pro

Corsair ger sig ut på nya jaktmarker med färdigbyggda speldatorer. Vattenkylda Corsair One Pro med Core i7-7700K och Geforce GTX 1080 under huven dyker in i testlabbet för en snabbtitt! Läs mer

24

Vulkan med flera grafikkort är inte låst till Windows 10

Inom kort väntas det bli möjligt att använda Vulkan med mer än ett grafikkort. Nu meddelar utvecklarna av Vulkan att stöd för detta kommer finnas på såväl Windows som Linux. Läs mer

23

Krönika: "Lita på det gröna hänglåset?"

Det gröna hänglåset i webbläsaren är bra, men kan invagga användare i falsk trygghet. Det menar gästkrönikören Karl Emil Nikka, och presenterar samtidigt möjliga lösningar på problemet. Läs mer

43

Qualcomm Snapdragon 835 i tidiga prestandatester

Qualcomms nya systemkrets Snapdragon 835 introduceras inom kort i ett flertal flaggskeppstelefoner, men redan nu har utvald media fått chansen att prestandatesta denna. Läs mer

65

Alina Systems går i konkurs

Efter en misslyckad företagsrekonstruktion under förra året har nu den Uppsala-baserade datoråterförsäljaren Alina Systems försatts i konkurs. Läs mer

40

Nintendo svarar om anslutningsproblemen i Joycon-kontrollerna hos Switch

Efter ett flertal rapporter om krånglande Joycon-kontroller hos spelkonsolen Switch tar Nintendo bladet från munnen och släpper ett officiellt uttalande om problemen. Läs mer

123

Telia utökar sin fri surf-kampanj med fler tjänster

Trots föreläggande från Post- och telestyrelsen meddelar nu Telia att de utökar sin fri surf-kampanj, där kunder nu kan använda exempelvis Viber utan extra kostnad. Läs mer

21

MSI förbereder stöd för XMP-profiler ihop med AMD Ryzen

Inom kort blir det möjligt för användare av MSI:s AM4-baserade moderkort att använda sig av minnesprofilen XMP för att lättare kunna ställa in hastighet och latenser för berörda moduler. Läs mer

15

Två medlemmar vinner ljudprodukter från Blue Microphones

Efter att ha sökt igenom bidragen har nu juryn utsett två vinnare i Blue Microphones tävling, vilka vinner varsitt paket innehållande hörlurar och mikrofon signerade av Ninjas in Pyjamas. Läs mer

5

Testpilot: Förhandstitt på AOC Agon AG251FZ

Häng med när testpiloten David Kvist tar en snabbtitt på den kommande testprodukten Agon AG251FZ, AOC:s senaste spelskärm med en bilduppdateringsfrekvens på 240 Hz. Läs mer

13

Epicgear lanserar uppdaterad Morpha X med RGB-belysning

Taiwanesiska Epicgear uppdaterar spelmusen Morpha X RGB med bland annat färgrik belysning, men behåller samma modulära egenskaper som tidigare modell. Läs mer

72

Corsair lanserar Vengeance RGB – minnen med mjukvarustyrd belysning

I enlighet med trenden att allt i datorn ska lysa i regnbågens färger släpper Corsair nu lös Vengeance RGB, en serie DDR4-minnen med integrerad kabelfri belysning. Läs mer