Добавить новость

Краснокнижные серые цапли появились в Москве

Ступинцы в День города передавали гумпомощь для жителей приграничья

Жаркая погода сохранится в Москве 1 сентября

Россиянин получил удар током в 27 тыс вольт и смог выжить





Новости сегодня

Новости от TheMoneytizer

Hard to believe but Secure Boot BIOS security has been compromised on hundreds of PC models from big brands because firmware engineers used four-letter passwords

Now, I'll admit my own password hygiene isn't always the best, though I have graduated from the days when I used "xxxxxx" for a few non-critical accounts under the reverse psychology assumption that it's so obviously insecure, nobody would bother trying it. Genius, I know. But even I realise a four-character password is a big no-no.

And yet that's exactly what was used to protect an encrypted file that was critical to the fundamental integrity of the Secure Boot, a UEFI BIOS security layer designed to ensure that a device boots using only the software that is trusted by the PC maker itself.

Ars Technica reports that, "researchers from security firm Binarly revealed that Secure Boot is completely compromised on more than 200 device models sold by Acer, Dell, Gigabyte, HP, Intel, Lenovo, Supermicro and others. The cause: a cryptographic key underpinning Secure Boot on those models that was compromised in 2022." Ouch.

Apparently, a critical cryptographic key for Secure Boot that forms the root-of-trust anchor between the hardware device and the UEFI firmware that runs on it and is used by multiple hardware manufacturers was published online, protected only by a four-character password. Security outfit Binarly spotted the leak in early 2023 and has now published a full report outlining the timeline and development of the problem.

Part of the problem, as we understand it, is device makers basically using the same old keys over and over again. To quote Binarly, the security failure involves, "no rotation of the platform security cryptographic keys per product line. For example, the same cryptographic keys were confirmed on client and server-related products. Similar behavior was detected with Intel Boot Guard reference code key leakage. The same OEM used the same platform security-related cryptographic keys for firmware produced for different device manufactures. Similar behavior was detected with Intel Boot Guard reference code key leakage."

The report includes a list of hundreds of machines from the brands mentioned above that have all been compromised by the leak. For the record, some of those systems include Alienware gaming desktops and laptops. Security experts say that for those devices that use the compromised key, it represents an unlimited Secure Boot bypass allowing malware to be executed during system boot. Only a direct firmware update for each device can secured affected devices.

Your next machine

(Image credit: Future)

Best gaming PC: The top pre-built machines.
Best gaming laptop: Great devices for mobile gaming.

All that said, Ars Technica quotes many of the brands involved essentially claiming that all of the relevant systems have now either been patched or taken out of service, which is presumably why Binarly is now publishing details of the security breach that would allow bad actors to take advantage of it.

That all seems to indicate that this is now a historical problem rather than a live security risk. But it also underlines how easily even well-conceived security features can be undermined if not implemented properly. As one security expert interviewed by Ars said, "the story is that the whole UEFI supply chain is a hot mess and hasn't improved much since 2016."

Anyway, if you have any concerns, hit up the full report and have a looksee if any of your devices appear. If they do, a BIOS update is very likely in order.

Читайте на 123ru.net


Новости 24/7 DirectAdvert - доход для вашего сайта



Частные объявления в Вашем городе, в Вашем регионе и в России



Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. "123 Новости" — абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Smi24.net — облегчённая версия старейшего обозревателя новостей 123ru.net. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city

Депутат Дюков подал заявления в прокуратуру и ФСБ на красноярскую мэрию из-за срыва дорожного ремонта

Астрологи назвали три знака зодиака, которые встретят любовь в сентябре

Песков: Москва уже начала отвечать на нападение Киева на Курскую область

Победитель Кубка России по панна-футболу отправится на чемпионат мира

Музыкальные новости

Путин рассказал о работе над трехсторонними отношениями с КНР и Монголией

Прекрасной игры участникам теннисного турнира памяти Ю. М. Лужкова пожелала Елена Батурина

«Зенит» обновил программу // Лусиано Гонду сделал дубль в первом матче за клуб из Санкт-Петербурга

Мытищинское предприятие ООО «Водомер» получило Диплом победителя в региональном конкурсе «100 лучших товаров России»

Новости России

Цивилизационная суть: в чём разница между нами «небратьями»?

Депутат Дюков подал заявления в прокуратуру и ФСБ на красноярскую мэрию из-за срыва дорожного ремонта

Век живи – век учи: зарплаты алтайских педагогов оказались одними из самых низких в России

Алтайский край оказался на 72-м месте по уровню предлагаемых педагогам зарплат

Экология в России и мире

Терпеть нельзя: Доктор Кутушов рассказал, почему нужно помочиться сразу же

Мегадискотека Детского радио «Дети как звезды!» пройдет 1 сентября в Москве и Санкт-Петербурге

Дистрибьюция Музыки.

Деловые мероприятия на выставке «Интерткань-2024. Осень» 10-12 сентября

Спорт в России и мире

Российский теннисист Медведев вышел в третий круг US Open

Теннисист Медведев прошел в третий круг US Open в Нью-Йорке

Джокович проиграл в третьем круге US Open и впервые с 2017 года завершит год без титула на турнире Большого шлема

Американские горки: Рублёв отыгрался со счёта 0:2 по сетам, но всё равно уступил Димитрову в четвёртом круге US Open

Moscow.media

Соцфонд проиндексирует пенсии работающим пенсионерам в феврале

Радио Romantika рекомендует open-air «Легенды мирового рока»

Пассажирский поезд врезался в кроссовер

Шоу-кар в ретро-стиле Hyundai N Vision 74 отправится в серийное производство











Топ новостей на этот час

Rss.plus






Архангельские работодатели жалуются на старение населения в регионе

Алтайский край оказался на 72-м месте по уровню предлагаемых педагогам зарплат

Собянин: Более 2,4 млн упаковок лекарств получил город по офсетным контрактам

Депутат Дюков подал заявления в прокуратуру и ФСБ на красноярскую мэрию из-за срыва дорожного ремонта