野外发现第一个绕过安全启动的 UEFI 恶意软件

研究人员宣布了一项重大的网络安全发现，一个被称之为 BlackLotus 的恶意软件可以劫持计算机的启动过程，即使启用了安全启动和其他先进的保护措施。这是世界上发现的第一个此类恶意软件的真实实例。BlackLotus 是一个 UEFI 启动套件，可以劫持 UEFI 的工作。UEFI 本身就是一个操作系统，在电脑开机后首先运行，它位于一个焊接在计算机主板上的闪存芯片中，这使得它很难被检查或修补。BlackLotus 利用了一个 Windows 的安全漏洞，一旦成功植入，这个 UEFI 启动包将禁用操作系统的安全机制，使计算机被隐蔽感染，即使在重新安装操作系统或更换硬盘后也无法清除。

消息来源：Ars Technica

老王点评：虽然一直理论上猜测会有突破安全启动机制的恶意软件，但是真没想到就这样出现了，而且已经在地下市场售卖了一段时间。

OpenAI 并没有想到 ChatGPT 会如此成功

当 OpenAI 在 2022 年 11 月发布 ChatGPT 时，它并没有预料到这个 AI 聊天机器人会取得难以想象的成功。OpenAI 内部将之视为研究预览，旨在收集公众的反馈以消除部分缺陷。ChatGPT 使用的技术都不是新的，ChatGPT 使用的是发布于 2022 年 1 月的 GPT-3.5，而 GPT-3.5 是 2020 年发布的 GPT-3 的更新版。

消息来源：Technology Review

老王点评：虽然困惑于 ChatGPT 如此成功，但是这不妨碍 OpenAI 迅速利用它的成功推动发展。

谷歌的 1000 种语言的人工智能模型迈出关键一步

去年 11 月，谷歌宣布其计划创建一个支持世界上 1000 种最常用语言的语言模型，同时还披露了其通用语音模型（USM）。周一，谷歌披露了 USM 的更多信息，称其是创建该语言模型迈出的 “关键性的第一步”。谷歌将 USM 描述为 “一个最先进的语音模型系列”，它有 20 亿个参数，经过了 1200 万小时的语音和超过 300 种语言的 280 亿个句子的训练。USM 已经被 YouTube 用来生成封闭式字幕，支持超过 100 种语言，并将作为基础来建立一个更加广泛的系统。

消息来源：The Verge

老王点评：可能很快全球各地的人用语言互相交流将不再是问题。

谷歌公共 DNS 服务正在推行大小写混杂查询

在 DNS over TLS 之前，DNS 查询由于技术原因会被投毒，从而导致客户端访问到投毒者设置的假冒地址。为了避免这种安全风险，最好的方式是使用 DNS over TLS 这样的加密查询通道。但是仍然有大量的 DNS 服务器没有或不能使用加密查询。谷歌从 2009 年就在小范围实验一种名为 0x20 的做法，它可以将查询的域名随机改变字母大小写，这可以有效的提高 DNS 投毒的难度。现在谷歌已经扩大了该方案，已经覆盖了 90% 没有使用加密查询的 DNS 服务器。

消息来源：The Register

老王点评：以后在你的权威 DNS 服务器上看到类似 liNUx.cN 这样的查询不要惊奇。

290 款微星主板的安全启动默认被绕过

安全启动是 UEFI 主板固件中的一项安全功能，确保在启动过程中只有受信任的（签名）软件可以执行。研究发现，微星公司在 2021 年 9 月至 2022 年 1 月期间发布的固件更新，改变了微星主板上的一个默认安全启动设置，该设置允许任何操作系统镜像运行，无论其是否有错误或丢失的签名。受影响的主板超过了 290 款，包括最新的用于英特尔和 AMD CPU 的微星主板。

消息来源：Bleeping Computer

老王点评：我觉得讨厌安全启动功能的人会喜欢这个默认设置。

USB4 2.0 规格正式发布，USB-C 可达 120Gbps

USB-C 是令人困惑的，一个 USB-C 端口或电缆可以支持一系列的速度、电源能力和其他功能，它支持的数据传输速率，可以从 USB 2.0 的 0.48Gbps 一直到 USB4 和雷电 3/4 的 40Gbps。USB 实施者论坛（USB-IF）今天发布了 USB4 2.0 规范，它增加了对 80Gbps 双向带宽的可选支持，以及以高达 120Gbps 速度发送或接收数据的可选能力。但预计在至少 12 到 18 个月内不会看到支持新规格的产品出现。

消息来源：USB-IF

老王点评：都是一种样子的接口，但是有的电缆就特别优秀。?

回音

• 自去年 9 月 宣布 以来，谷歌今天正式 关闭 了其 Stadia 云游戏平台。除了对用户购买的软硬件退款之外，他们还使其游戏手柄能够使用蓝牙，以便在其他游戏平台上使用。

GNOME 正计划通知用户其固件安全状态，来保护不安全的硬件。

当你在支持 UEFI 的电脑上安装 Linux 时，你必须禁用“ 安全启动 Secure Boot ”，因为启用该选项后，不能使用 现场 USB Live USB 启动。

一些主流的 Linux 发行版支持安全启动，但对于许多其他发行版（以及板载的 Nvidia 硬件）来说，它的设置仍然具有挑战性。

虽然一年又一年，情况似乎并没有改善，但总的来说，安全启动是一个必不可少的保护功能。

因此，正如 Phoronix 所发现的，为了方便和让用户意识到这一点，GNOME 和红帽的开发者正在努力在安全启动被禁用时通知（或警告）用户。

它有什么用？

UEFI/安全启动被批评为 DRM，因为它剥夺了用户的自由。开源社区的许多人仍然不赞同实施 UEFI/安全启动和 TPM，因为它带来了不便。这就催生了像 Coreboot 这样的项目在开源世界中蓬勃发展。

当然，如果你每天都用 Linux，我会建议你购买支持 Coreboot 的新硬件，这是一个不同的故事。

话虽如此，但可以肯定的是，安全启动是最简单的方法。

考虑到捆绑的专有固件，安全启动的安全性仍然值得商榷。但是，它是一个确保系统的固件安全的基本保护机制。

所以，开发者准备在启动闪屏（Plymouth）、GNOME 显示管理器（GDM）和 GNOME 控制中心显示警告。

GNOME 的一位开发者在 博客文章 中分享了它的更多细节，同时给出了其中的一些屏幕截图。

一位来自红帽的开发者在 合并请求 中提到。

安全启动被用来对付一些恶意软件试图感染系统的固件的安全威胁。用户可能会无意中禁用或软件可能会有意禁用安全启动。因此，配置不正确的话，系统就运行在一个不安全的平台上。如果启动闪屏能向用户提供一个警告，用户可以重新启动并重新配置他们的系统，或者立即寻求帮助。

所以，作为一个 GNOME 用户，当它进入 GNOME 43 的最终版本或任何未来的版本时，我乐于看到它所带来的变化。

如果你也想看看，你可以在 GNOME 控制中心的“ 隐私 Privacy ”标签下的“ 设备安全 Device Security ”部分找到这个选项，如下图所示，我的机器在 Arch Linux 上运行 GNOME 43 alpha。

该菜单还可以显示 TPM、英特尔 BootGuard 和 IOMMU 保护的细节。

看来我的系统并不像我想象的那么安全……但也许这就是这个功能的意义所在？

如果你只在你的 Linux 发行版上使用 UEFI 模式，并且为了方便而关闭了安全保护功能，这能让你意识到这一点吗？

有可能。但是，看看 Linux 发行版的状况和启用安全启动的问题。我不觉得这可能会是一个大问题。我们很快就会知道了。

如何禁用这个警告？

正如在 GNOME Gitlab 的 合并请求 中提到的，在你的内核参数中添加 sb-check=false 就可以禁用这些警告。

不过，作为终端用户，你不需要担心这个问题。

你对即将在 GNOME 43 或更高版本中增加的这个功能有什么看法？你对 UEFI/安全启动有什么看法？

via: https://news.itsfoss.com/gnome-secure-boot-warning/

作者：Anuj Sharma 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

安全启动功能曝出新漏洞，影响大量 Linux 与 Windows 系统

其命名为 BootHole，存在于安全启动的 GRUB2 文件中，攻击者可借此对受害者的系统实现“近乎完全的控制”。只要使用了标准的微软第三方 UEFI 证书授权，这些支持安全启动功能的设备都会受到 BootHole 漏洞的影响，包括大量的台式机、笔记本、工作站、服务器、以及其它相关技术领域。据悉，Eclypsium 将于 8 月 5 日举办一场网络研讨会。包括微软、UEFI 安全响应团队（USRT）、甲骨文、Canonical、Debian 等在内的相关方都会参与这场讨论，以期找到缓解该漏洞的方法。

来源：cnBeta.COM

拍一拍：推行了好多年的安全启动不安全，这是这件事里面最麻烦的地方。

微软加入 Blender 开发基金

微软宣布加入 Blender 基金会的开发基金，成为企业金级会员。此前法国游戏公司育碧也以企业金级会员的身份加入了该基金。微软使用 Blender 生成人的 3D 模型和图像，将其用于训练 AI 模型。研究人员使用开源自由软件 3D 软件被证明能对科学项目带来巨大的好处。

来源：solidot

拍一拍：微软越来越习惯尽到一个大公司对开源的“义务”了

Apache 软件基金会 2020 财年报告：总代码价值超 200 亿美元

2020 财年，Apache 软件基金会达成了以下主要成就：添加了约 800 万行 Apache 代码，价值约 6 亿美元；总代码价值超过 200 亿美元；Apache 资料库中共管理着超过 2.27 亿行代码；超过 7,700 名代码提交者；206 个顶级社区，监督 339 个以上的 Apache 项目，以及数十个子项目和计划，等等。

来源：开源中国

拍一拍：Apache 之道大行其道。