标签 UEFI 下的文章

1 开机启动显示的徽标中可隐藏恶意代码

研究人员发现了大量与开机时 UEFI 显示的徽标图像处理有关的漏洞。恶意代码可以通过附加到镜像中的方式在不被察觉的情况下被安装,目前的安全启动机制都无法阻止这种攻击。这个名为 “LogoFAIL” 攻击是由二十几个新发现的漏洞组成的,这些漏洞已经在负责启动运行 Windows 或 Linux 的现代设备的 UEFI 中潜伏了数年甚至数十年,几乎涵盖了整个 x64 和 ARM CPU 生态系统。首先是 UEFI 供应商 AMI、Insyde 和 Phoenix;然后是联想、戴尔和惠普等设备制造商;以及英特尔和 AMD 等 CPU 制造商。LogoFAIL 攻击的是徽标,特别是硬件销售商的徽标,这些徽标会在 UEFI 仍在运行时,在启动时显示在设备屏幕上。这种新的固件攻击几乎影响所有 Windows 和 Linux 设备。

(插图:DA/19aebc9b-a8da-4d5f-a331-c2e8afa300a0)

消息来源:Ars Technica
老王点评:真是想象力丰富,没想到开机显示的徽标也可以隐藏恶意代码。

2 谷歌 Gemini 的早期印象并不好

谷歌本周发布了新的生成式人工智能模型 Gemini,该模型将为包括 Bard 在内的一系列产品和服务提供支持。谷歌对 Gemini 的卓越架构和能力大加吹捧,声称该模型的性能达到或超过了 GPT-4 等其他领先的生成式人工智能模型。但又传闻证据表明并非如此。比如,有人发现该模型未能正确理解基本事实,会弄错 2023 年奥斯卡奖得主。翻译似乎也不是 Gemini Pro 的强项。即便谷歌拥有搜索和新闻网站,但 Gemini Pro 似乎不愿意对可能引起争议的新闻话题发表评论,而是告诉用户……自己谷歌一下。此外,其广泛传播的演示视频被指造假、基准测试有选择性前提。

(插图:DA/ab59690d-fd51-452c-8bca-50c6b93955c4)

消息来源:Tech Crunch
老王点评:LLM 好不好,数据没有用,用户反馈才是真的。这句话不只是对 Gemini 说的。

3 Fedora 40 新增直接启动统一内核镜像的功能

Fedora 40 正在将其对统一内核镜像(UKI)支持推进到下一阶段,将支持直接从 EFI SHIM 启动 UKI 文件的能力,而无需通过 GRUB 等传统的引导加载器。UKI 将带来更好的 UEFI 安全启动支持,更好地支持 TPM 测量和保密计算,以及更强大的启动过程。

(插图:MJ/a99ba7c8-2e9d-43f8-b16e-fbb11f6ae4df)

消息来源:Phoronix
老王点评:可能是我过于守旧了,我既不喜欢 systemd,也不喜欢 UKI、TPM 和安全启动。

想要在固件级别检查启动顺序或电源设置? 你可以在系统启动时按 F2F10Del 按键访问 UEFI 设置

这种方法的问题是你可能不知道确切的键,并且必须警惕在正确的时间按下这些键。

Mr. Bean

如果你不想像上面 Gif 中的憨豆先生,你可以从 Linux 中的 Grub 引导加载器 页面访问 UEFI 设置。

uefi firmware settings grub linux

当你打开 Linux 系统时,你会看到这个页面。Fedora 和 Ubuntu 等大多数 Linux 发行版都使用 Grub,它们允许你像这样从 Grub 页面访问 UEFI 设置。

如果你没有看到此页面,或你的发行版不使用 Grub 怎么办? 仍然有一些方法可以从 Linux 中访问 UEFI 设置。

在你了解如何操作之前,请 确保你的系统使用的是 UEFI

另一件重要的事情。你的系统重启才能进入 UEFI 设置。你无法从操作系统中访问和修改固件设置。

从 Linux 启动到 UEFI 设置

此方法仅适用于具有 systemd 的 Linux 发行版。这意味着这种方法适用于任何基于 Ubuntu、Debian、Fedora 和任何主流的基于 Arch 的发行版,包括 Manjaro 和 EndeavourOS。

确保你的 Linux 发行版使用 systemd 仍然是一个好主意。使用给定的命令,如果它返回 systemd,你就可以开始了:

ps --no-headers -o comm 1

how to know if i am using systemd on linux?

当你发现你的发行版正在使用 systemd,你可以使用给定的命令启动到 UEFI 设置:

systemctl reboot --firmware-setup

让我首先分解使用的选项:

  • reboot:顾名思义,它将重启你的系统。
  • --firmware-setup: 当此选项与 reboot 一起使用时,它会指示系统固件启动进入固件设置界面。

就是这样! 一个命令,你将进入 UEFI 设置。我知道 Windows 允许 从 Windows 中启动进入 UEFI 固件设置。很高兴在 Linux 中看到类似的东西。

创建桌面快捷方式以启动到 UEFI 设置(可选)

如果你经常发现自己启动进入 UEFI 设置,并且不记得所有命令,你可以通过创建桌面快捷方式让你的生活更轻松。这将使你可以通过单击桌面图标启动到 UEFI。

不过,对于大多数 Linux 用户来说,这是不必要的,也不是必需的。只有当你觉得有必要时才去做。该方法需要 在命令行中编辑文件

首先,使用给定的命令为 UEFI 设置创建桌面快捷方式文件:

sudo nano /usr/share/applications/uefi-reboot.desktop

并将以下内容粘贴到文件中:

[Desktop Entry]
Name=UEFI Firmware Setup (Reboot)
Comment=Access the motherboard configuration utility
Exec=systemctl reboot --firmware-setup
Icon=system-restart
Terminal=false
Type=Application
Categories=System;Settings;

create a desktop shortcut to boot into uefi settings

完成后,保存更改并退出 nano 文本编辑器。

现在,你将在系统菜单中找到 UEFI 固件设置的快捷方式:

boot into uefi firmware from system menu

完成了!一种进入 UEFI 设置的巧妙方法。

总结

访问启动设置的经典方法对某些人来说可能有点不方便。Grub 页面可能不会显示旧版本的 UEFI 选项。

这就是 systemd 方法的亮点所在。当我的系统崩溃并且我的功能键没有响应时,我发现这种方法是救命稻草,这是启动到 UEFI 所必需的(我当时就是这么想的!)。

我希望你发现它同样有用。


via: https://itsfoss.com/access-uefi-from-linux/

作者:Sagar Sharma 选题:lkxed 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

UEFI 攻击对我们来说是几乎是不可见的

安全研究人员发现 UEFI 的 Rootkit 并不罕见,而且难以检测。卡巴斯基研究人员在对一种复杂的 UEFI Rootkit 研究后表示:“这种 UEFI 植入物似乎自 2016 年底以来就已经在野外使用,这甚至早在 UEFI 攻击开始被公开描述之前。”

消息来源:ARS Technica
老王点评:这说明很可能在我们都毫不知情的情况下,已经被偷偷入侵和窃取了很多信息。

DeepMind 发布几乎所有已知蛋白质的预测结构

蛋白质由氨基酸链组成,折叠成复杂的形状,这在很大程度上决定了它们的功能。一旦你知道蛋白质是如何折叠的,你就可以开始了解它是如何工作的,以及如何改变它的行为。2020 年 11 月,DeepMind 宣布已开发出一个名为 AlphaFold 的程序,可以使用算法快速预测其结构。去年,DeepMind 发布了 20 个物种的蛋白质结构——包括人类表达的几乎所有 20,000 种蛋白质。现在它已经完成了这项工作,并发布了超过 2 亿种蛋白质的预测结构。基本上,你可以认为它涵盖了整个蛋白质宇宙。

消息来源:卫报
老王点评:这才是 AI 应该造福人类的地方,而不是用在监控、深度伪造这种地方。

新版 GB18030 字符集标准发布

市场监管总局标准委发布了最新的 GB 18030 中文编码字符集。GB 18030 首次发布于 2000 年,2005 年第一次修订,这是第二次修订。2022 标准将于 2023 年 8 月 1 日正式实施,共收录汉字 87887 个,比上一版增加录入了 1.7 万余个生僻汉字。除了汉字,还包括了 10 种我国的少数民族语言的文字。

消息来源:新华网
老王点评:这是十多年来又一次修订,不过现在更多用的是 Unicode 了。

Ubuntu 开发商 Canonical 计划在 2023 年完成 IPO

据消息,在今天推出 Ubuntu 22.04 LTS 之前的新闻发布会上,Canonical 创始人说,“我们正按计划将业务上市。现在我非常有信心,我们将在 2023 年做到这一点。”他强调,上市并不是为了筹款。他指出,Canonical 去年的收入是 1.75 亿美元,公司目前最大的挑战是需求大于公司的服务能力,很大程度上是因为市场上没有足够的人才供公司雇佣。

老王点评:不差钱上是干啥,是准备套现吗?

被罚 1.5 亿欧元后,谷歌宣布启用全新 Cookie 通知

据消息,法国数据监督机构 CNIL 认为当涉及到向用户展示跟踪选择时,谷歌未能遵守现行法规。CNIL 发现,谷歌等网站提供了一个允许立即接受 Cookie 的按钮,打包拒绝所有的 Cookie 需要几次点击。在谷歌的新 Cookie 通知中,现在有三个按钮。除了两个同意按钮外,还有一个新的“拒绝所有”按钮,让你只需一次点击就能完全选择退出追踪。两个主要按钮的颜色、大小和形状都是一样的。

老王点评:玩这些小花招,真是无聊。

超过 100 万台联想笔记本电脑的 UEFI 可被植入恶意软件

据消息,联想发布了 100 多个笔记本电脑型号的安全更新,以修复三个 UEFI 关键漏洞。攻击者利用这些漏洞可以在 UEFI 中安装恶意固件。UEFI 存在于主板上的闪存芯片中,感染很难被发现,甚至很难被清除。其中两个漏洞存在于 UEFI 固件驱动程序中,应该只用于联想消费者笔记本的制造过程中。但联想工程师无意中将这些驱动程序纳入了生产的 BIOS 镜像中,而没有正确停用。而第三个漏洞允许攻击者在机器进入系统管理模式时运行恶意固件,这种高权限的操作模式通常由硬件制造商用于低级别的系统管理。好在这三个漏洞都需要本地访问才能发挥作用,而不能远程利用。

老王点评:将生产用的固件泄露到产品中,这真的有品控吗?

发现植入到 UEFI 固件中的恶意程序

研究人员通过固件扫描器的日志发现了一个 植入 到 UEFI 固件中的恶意程序 MoonBounce。该扫描器自 2019 年初以来已被整合到卡巴斯基产品中。恶意程序修改了主板上的 SPI 闪存,它不在硬盘上,因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流,引入一个复杂的感染链。由于感染链只在内存中运行,而在硬盘上没有留下攻击痕迹。该恶意程序可以部署用户模式的恶意软件,从互联网上下载并执行的更多的有效载荷。

老王点评:真是无孔不入,这些恶意程序真是能别开生面的发现利用方法。

FSF 让其 5000 多名准会员提名董事会成员

自由软件基金会(FSF)董事会前几天通过了 新程序,在其 37 年的历史上,第一次可以让其准会员提名其董事会成员。FSF 打算在 2022 年利用这些新程序首先增加几个新董事,然后开始对现有董事进行审查。包括所有现任董事在内的有投票权的成员可以参与投票。FSF 主席说:“向我们的准会员开放董事招聘程序是 FSF 的一个历史性的、受欢迎的里程碑。”该流程是由顾问主导的六个月审查的主要成果。

老王点评:作为开源先锋,FSF 能践行社区治理是一个进步。

Linux 大量向用户提供了固件更新

本周早些时候,在上传了许多新的系统固件文件后,Linux 供应商固件服务提供了大量下载服务。这些固件解决的问题尚未披露,似乎是一个“高度严重的即将到来的安全问题”,但据分析是在更新英特尔 CPU 的微代码。经过 测试发现,无论新的安全问题是什么,它似乎都没有任何广泛的性能影响。

老王点评:在这种时候,就感觉到了 Linux 供应商固件服务的重要性。

回音

这是一份在同一台机器上设置 Linux 和 Windows 双重启动的速成解释,使用统一可扩展固件接口(UEFI)。

我将强调一些重要点,而不是一步一步地指导你来如何配置你的系统以实现双重启动。作为一个示例,我将提到我在几个月之前新买的笔记本计算机。我先是安装 Ubuntu Linux 到整个硬盘中,这就摧毁了预装的 Windows 10 环境。几个月后,我决定安装一个不同的 Linux 发行版 Fedora Linux,也决定在双重启动配置中与它一起再次安装 Windows 10 。我将强调一些极其重要的实际情况。让我们开始吧!

固件

双重启动不仅仅是软件问题。或者说它算是软件的问题,因为它需要更改你的固件,以告诉你的机器如何开始启动程序。这里有一些和固件相关的重要事项要铭记于心。

UEFI vs BIOS

在尝试安装前,确保你的固件配置是最佳的。现在出售的大多数计算机有一个名为 统一可扩展固件接口 Unified Extensible Firmware Interface (UEFI)的新类型固件,UEFI 差不多取代了另一个名为 基本输入输出系统 Basic Input Output System (BIOS)的固件类型,(包括很多固件供应商在内的很多人)通常称 BIOS 为 传统启动模式 Legacy Boot

我不需要 BIOS,所以我选择了 UEFI 模式。

安全启动

另一个重要的设置是 安全启动 Secure Boot 。这个功能将检测启动路径是否被篡改,并阻止未经批准的操作系统的启动。现在,我禁用这个选项来确保我能够安装 Fedora Linux 。依据 Fedora 项目维基“功能/安全启动”部分的介绍可知:Fedora Linux 在安全启动选项启用的时候也可以工作。这对其它的 Linux 发行版来说可能有所不同 — 我打算今后重新研究这项设置。

简而言之,如果你发现在这项设置启用时你不能安装你的 Linux 操作系统,那么禁用安全启动并再次重新尝试安装。

对启动驱动器进行分区

如果你选择双重启动并且两个操作系统都在同一个驱动器上,那么你必须将它分成多个分区。即使你使用两个不同的驱动器进行双重启动,出于各种各样的原因,大多数 Linux 环境也最好分成几个基本的分区。这里有一些选项值得考虑。

GPT vs MBR

如果你决定手动分区你的启动驱动器,在动手前,我建议使用 GUID 分区表 GUID Partition Table (GPT),而不是使用旧的 主启动记录 Master Boot Record (MBR) 。这种更改的原因之一是:MBR 有两个特定的限制,而 GPT 却没有:

  • MBR 可以最多拥有 15 个分区,而 GPT 可以最多拥有 128 个分区。
  • MBR 最多仅支持 2 TB 磁盘,而 GPT 使用 64 位地址,这使得它最多支持 800 万 TB 的磁盘。

如果你最近购买过硬盘,那么你可能会知道现代的很多硬盘都超过了 2 TB 的限制。

EFI 系统分区

如果你正在进行一次全新的安装或使用一块新的驱动器,那么这里可能没有可以开始的分区。在这种情况下,操作系统安装程序将先创建一个分区,即 EFI 系统分区 EFI System Partition (ESP)。如果你选择使用一个诸如 gdisk 之类的工具来手动分区你的驱动器,你将需要使用一些参数来创建这个分区。基于现有的 ESP ,我设置它为约 500 MB 的大小,并分配它为 ef00( EFI 系统 )分区类型。UEFI 规范要求格式化为 FAT32/msdos ,很可能是因为这种格式被大量的操作系统所支持。

分区

操作系统安装

在你完成先前的两个任务后,你就可以安装你的操作系统了。虽然我在这里关注的是 Windows 10 和 Fedora Linux ,当安装其它组合时的过程也是非常相似。

Windows 10

我开始 Windows 10 的安装,并创建了一个 20 GB 的 Windows 分区。因为我先前在我的笔记本计算机上安装了 Linux ,所以驱动器已经有了一个 ESP ,我选择保留它。我删除所有的现有 Linux 和交换分区来开始一次全新安装,然后开始我的 Windows 安装。Windows 安装程序自动创建另一个 16 MB 的小分区,称为 微软保留分区 Microsoft Reserved Partition (MSR)。在这完成后,在 512 GB 启动驱动器上仍然有大约 400 GB 的未分配空间。

接下来,我继续完成了 Windows 10 安装过程。随后我重新启动到 Windows 来确保它是工作的,在操作系统第一次启动时,创建我的用户账号,设置 Wi-Fi ,并完成其它必须的任务。

Fedora Linux

接下来,我将心思转移到安装 Linux 。我开始了安装过程,当安装进行到磁盘配置的步骤时,我确保不会更改 Windows NTFS 和 MSR 分区。我也不会更改 ESP ,但是我设置它的挂载点为 /boot/efi。然后我创建常用的 ext4 格式分区, /(根分区)、/boot/home。我创建的最后一个分区是 Linux 的交换分区(swap)。

像安装 Windows 一样,我继续完成了 Linux 安装,随后重新启动。令我高兴的是,在启动时 大一统启动加载程序 GRand Unified Boot Loader (GRUB)菜单提供选择 Windows 或 Linux 的选项,这意味着我不需要再做任何额外的配置。我选择 Linux 并完成了诸如创建我的用户账号等常规步骤。

总结

总体而言,这个过程是不难的,在过去的几年里,从 BIOS 过渡到 UEFI 有一些困难需要解决,加上诸如安全启动等功能的引入。我相信我们现在已经克服了这些障碍,可以可靠地设置多重启动系统。

我不再怀念 Linux LOader)(LILO)!


via: https://opensource.com/article/19/5/dual-booting-windows-linux-uefi

作者:Alan Formy-Duval 选题:lujun9972 译者:robsean 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出