微软刚刚宣布了Mu项目，承诺在支持的硬件上实现“固件即服务”。每个PC**商都应该注意。个人电脑需要对其UEFI固件进行安全更新，而个人电脑**商在提供这些更新方面做得很差。

什么是uefi固件(uefi firmware)？

现代PC使用UEFI固件而不是传统的BIOS。UEFI固件是在引导电脑时启动的低级软件。它测试并初始化硬件，进行一些低级系统配置，然后从电脑的内部驱动器或其他引导设备引导操作系统。

然而，UEFI比旧的BIOS软件要复杂一些。例如，使用英特尔处理器的计算机有一种叫做“英特尔管理引擎”的东西，它基本上是一个微型操作系统。它与Windows、Linux或任何您正在计算机上运行的操作系统并行运行。在公司网络上，系统管理员可以使用“英特尔ME”中的功能远程管理他们的计算机。

UEFI还包含处理器“微码”，这有点像处理器的固件。当您的计算机启动时，它会从UEFI固件加载微码。把它想象成一个解释器，把软件指令翻译成在CPU上执行的硬件指令。

相关：什么是UEFI，它与BIOS有何不同？

uefi固件为何需要安全更新

过去几年，UEFI固件需要及时进行安全更新的原因已经得到了反复的证明。

我们都在2018年了解了幽灵，展示了现代CPU的严重架构问题。所谓“推测性执行”的问题意味着程序可以脱离标准的安全限制，读取内存的安全区域。修复幽灵所需的CPU微码更新功能正常。这意味着个人电脑**商必须更新他们所有的笔记本电脑和台式电脑，主板**商必须更新他们所有的主板与新的UEFI固件包含更新的微码。除非你安装了UEFI固件更新，否则你的电脑不会受到足够的幽灵保护。AMD还发布了微代码更新，以保护采用AMD处理器的系统免受幽灵攻击，因此这不仅仅是英特尔的事情。

英特尔的管理引擎出现了一些安全漏洞，这些漏洞可能会让具有本地计算机访问权限的攻击者破解管理引擎软件，或者让具有远程访问权限的攻击者造成麻烦。幸运的是，这些远程攻击只影响到启用了Intel主动管理技术（AMT）的企业，因此普通消费者没有受到影响。

这些只是几个例子。研究人员还证明，在某些PC上滥用UEFI固件是有可能的，利用它可以深入访问系统。他们甚至演示了持久的勒索软件，可以访问计算机的UEFI固件并从那里运行。

业界应该像任何其他软件一样更新每台计算机的UEFI固件，以防将来出现这些问题和类似的缺陷。

相关：如何检查您的电脑或**是否受到保护，以防熔毁和幽灵

多年来更新过程是如何中断的

早在UEFI出现之前，BIOS的更新过程就一直一团糟。传统上，电脑附带了老式的BIOS，很少会出错。个人电脑**商可能会提供一些BIOS更新来解决一些小问题，但通常的建议是，如果你的电脑工作正常，就不要安装它们。你经常不得不从一个可启动的DOS驱动器启动来刷新BIOS更新，每个人都听说过BIOS更新失败和阻塞pc的故事，使得它们无法启动。

事情变了。UEFI固件做的更多，英特尔在过去几年中发布了CPU微码和英特尔ME等几大更新。每当英特尔发布这样的更新，英特尔所能做的就是说“问你的计算机**商。”你的计算机**商或主板**商，如果你建立自己的电脑必须采取英特尔的代码，并将其集成到一个新的UEFI固件版本。然后他们必须测试固件。哦，每个**商都必须对他们销售的每台个人电脑重复这个过程，因为他们都有不同的UEFI固件。正是这种手工操作使得Android**在过去很难更新。

在实践中，这意味着通常需要很长时间甚至几个月才能获得必须通过UEFI交付的关键安全更新。这意味着**商可能会耸耸肩，拒绝更新只有几年历史的个人电脑。而且，即使**商发布了更新，这些更新通常也会被隐藏在**商的支持网站上。大多数PC用户永远不会发现这些UEFI固件更新存在并安装它们，因此这些漏洞最终会在现有PC上存在很长一段时间。一些**商仍然让你安装固件更新通过引导到DOS的第一只是为了让它更加复杂。

人们对此做了什么

真是一团糟。我们需要一个简化的过程，**商可以更容易地创建新的UEFI固件更新。我们还需要一个更好的过程来发布这些更新，这样用户就可以让他们自动安装在他们的电脑上。现在这个过程是缓慢的和手动的，应该是快速和自动的。

这正是微软正试图对穆项目所做的。官方文件是这样解释的：

Mu is built around the idea that shipping and maintaining a UEFI product is an ongoing collaboration between numerous partners. For too long the industry has built products using a “forking” model combined with copy/paste/rename and with each new product the maintenance burden grows to such a level that updates are near impossible due to cost and risk.

Mu项目旨在通过简化UEFI开发流程和帮助所有人协同工作，帮助PC**商更快地创建和测试UEFI更新。希望这是缺失的部分，因为微软已经让PC**商更容易自动向用户发送UEFI固件更新。

具体来说，微软允许PC**商通过Windows Update发布固件更新，并至少从2017年起提供了相关文档。微软还于2018年10月宣布了组件固件更新；这是一种开源模式，**商可以使用它来更新UEFI和其他固件。如果个人电脑**商也能做到这一点，他们就可以很快地向所有用户提供固件更新。

这也不仅仅是Windows的东西。在Linux上，开发人员正试图让PC**商更容易使用Linux供应商固件服务LVFS发布UEFI更新。PC供应商可以提交他们的更新，它们将出现在GNOME软件应用程序中供下载，该应用程序用于Ubuntu和许多其他Linux发行版。这一努力可以追溯到2015年。戴尔（Dell）和联想（Lenovo）等个人电脑**商也在参与。

这些针对Windows和Linux的解决方案影响的不仅仅是UEFI更新。硬件**商将来可以用它们来更新从USB鼠标固件到固态驱动器固件的所有东西。

正如SwiftOnSecurity在谈到固态硬盘固件和加密问题时所说，固件更新是可靠的。我们需要从硬件**商那里得到更好的期望。

Firmware updates can be reliable. I have initiated at least 3,000 Dell BIOS updates with only one failure, and that old PC was already in service for failing.

Re-think what you think is impossible. Firmware servicing is not impossible or risky. It requires people demand better.

— SwiftOnSecurity (@SwiftOnSecurity) November 6, 2018

图片来源：Intel，Natascha Eibl，kubais/Shutterstock.com网站.