Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.387 Produkten

Christof Windeck 47

UEFI-BIOS bekommt ein Sicherheits-Expertenteam

UEFI-BIOS bekommt ein Sicherheits-Expertenteam

Das UEFI Security Response Team (USRT) soll die UEFI-Sicherheit verbessern.

Bild: UEFI.org

Das UEFI Security Response Team (USRT) unter Führung von Phoenix soll zentraler Ansprechpartner für Sicherheitslücken des BIOS-Nachfolgers sein.

Die Industrievereinigung UEFI Forum reagiert auf die zahlreichen demonstrierten Sicherheitslücken im UEFI-BIOS mit der Bildung eines UEFI Security Response Team (USRT). Die Führung übernimmt Dick Wilkins, der für den Firmware-Hersteller Phoenix arbeitet. Das USRT soll vor allem Ansprechpartner sein für "White Hat"-Hacker, die Sicherheitslücken finden. Dazu gibt es auch eine E-Mail-Adresse mit zugehörigem PGP-Schlüssel.

Anzeige

Das UEFI Security Response Team ist als Subkomitee des UEFI Board organisiert, aber keine eigenständige Arbeitsgruppe. Das USRT soll wohl den nach vielen Bugs und massiver Kritik etwa von Google angeknacksten Ruf des UEFI-BIOS verbessern und wird von den Firmen Apple, Microsoft, Intel, AMD, ARM, Dell, Lenovo, HP und Red Hat sowie den UEFI-Zulieferern AMI, Insyde und eben Phoenix getragen. Google setzt derweil auf UEFI-Alternativen wie Coreboot/Libreboot oder NERF.

Zweimal jährlich veranstaltet das UEFI Forum Treffen namens Plugfests. Dort spielt in den vergangenen Jahren die Sicherheit eine immer größere Rolle. Viele Vorträge greifen zuvor enttarnte Sicherheitslücken auf und geben Hilfestellung zum sicheren Programmieren von Firmware-Funktionen.

Während beim "klassischen" BIOS der Code der unterschiedlichen Hersteller wie AMI, Award, Phoenix oder Insyde oft proprietär und kaum dokumentiert war, stützen sich viele Funktionen heutiger UEFI-BIOSse auf die offene Implementierung Tianocore EDK II. Dort eingebaute Fehler und Schwachstellen treten deshalb auch in vielen anderen UEFI-Varianten auf. Doch es gibt auch hausgemachte Probleme wie ungenutzte Schutzfunktionen.

(ciw)

47 Kommentare

Themen:

Anzeige
  1. Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät

    Intel-Chipsatz B150

    Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.

  2. AMD Ryzen: Kommende BIOS-Updates patchen auch "VME-Bug"

    AMD Ryzen

    Sehr alte Betriebssysteme scheitern auf Ryzen-Prozessoren an einem Fehler in den Virtual-8086 Mode Extensions (VME); BIOS-Updates mit AGESA 1.0.0.6 sollen das Problem lösen.

  3. BIOS-Updates für kommende Ryzen-Prozessoren

    BIOS-Updates für kommende Ryzen-Prozessoren

    Asus stellt erste BIOS-Updates mit AGESA 1.0.7.1 zum Download bereit. Damit macht der Hersteller seine AM4-Boards fit für zukünftige CPUs.

  4. AMD Secure Processor PSP wohl bei einigen Ryzen-Mainboards abschaltbar

    BIOS-Setup des ASRock AB350M Pro4 mit Option "BIOS PSP Support"

    Neue BIOS-Versionen für einige AM4-Mainboards bringen eine Option im BIOS-Setup, die Teilfunktionen des AMD Secure Processor PSP auf Basis von ARM TrustZone abschaltet.

  1. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  2. Ist Open Source Software wirklich sicherer?

    Open Source-Software gilt als sicherer als proprietäre Software - doch stimmt das wirklich? Wir machen den Praxis-Check.

  3. Virustotal analysiert (UEFI-)BIOS-Code

    BIOS-Analyse bei Virustotal

    Der Virenscan-Webdienst Virustotal untersucht nun auch hochgeladene Firmware-Images, beispielsweise BIOS-Updates – und liefert hochinteressante Einblicke.

  1. Fritzbox-Updates: Kommendes FritzOS 7 könnte zwei Router per Mesh-WLAN koppeln

    Fritzbox-Updates: FritzOS 7 könnte zwei Fritzboxen per Mesh-WLAN koppeln

    Der Routerhersteller AVM erwägt, die Mesh-Funktionen im erwarteten FritzOS 7 weiter auszubauen, um entfernte Geräte via Mesh anzukoppeln. Das erklärte die Firma im Rahmen einer Stellungnahme zu einem missverständlichen Facebook-Posting.

  2. PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K

    PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K, Benchmark-Tool am 1. Februar

    Für die PC-Version des Action-Rollenspiels Final Fantasy XV müssen wohl einige Spieler ihre SSDs oder Festplatten von unnötigem Ballast befreien: Das Spiel belegt in der 4K-Fassung über 155 GByte.

  3. Kabel-TV-Anbieter nehmen Volldigitalisierung in Angriff

    Digitales Antennen-Fernsehen

    Die Umstellung auf Volldigitalisierung im Kabelnetz sorgt für schnelleres Internet und höhere Auflösung. Kabelbetreiber planen die Abschaltung des Analogsignals gleich in mehreren Bundesländern.

  4. Ärger über fehlendes Bug-Bounty-Programm: Sicherheitsforscher will Mac-Schwachstelle offenlegen

    MacBook

    Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.

Anzeige