微軟剛剛宣佈了Mu專案，承諾在支援的硬體上實現“韌體即服務”。每個PC**商都應該注意。個人電腦需要對其UEFI韌體進行安全更新，而個人電腦**商在提供這些更新方面做得很差。

什麼是uefi韌體(uefi firmware)？

現代PC使用UEFI韌體而不是傳統的BIOS。UEFI韌體是在引導電腦時啟動的低階軟體。它測試並初始化硬體，進行一些低階系統配置，然後從電腦的內部驅動器或其他引導裝置引導作業系統。

然而，UEFI比舊的BIOS軟體要複雜一些。例如，使用英特爾處理器的計算機有一種叫做“英特爾管理引擎”的東西，它基本上是一個微型作業系統。它與Windows、Linux或任何您正在計算機上執行的作業系統並行執行。在公司網路上，系統管理員可以使用“英特爾ME”中的功能遠端管理他們的計算機。

UEFI還包含處理器“微碼”，這有點像處理器的韌體。當您的計算機啟動時，它會從UEFI韌體載入微碼。把它想象成一個直譯器，把軟體指令翻譯成在CPU上執行的硬體指令。

相關：什麼是UEFI，它與BIOS有何不同？

uefi韌體為何需要安全更新

過去幾年，UEFI韌體需要及時進行安全更新的原因已經得到了反覆的證明。

我們都在2018年瞭解了幽靈，展示了現代CPU的嚴重架構問題。所謂“推測性執行”的問題意味著程式可以脫離標準的安全限制，讀取記憶體的安全區域。修復幽靈所需的CPU微碼更新功能正常。這意味著個人電腦**商必須更新他們所有的膝上型電腦和臺式電腦，主機板**商必須更新他們所有的主機板與新的UEFI韌體包含更新的微碼。除非你安裝了UEFI韌體更新，否則你的電腦不會受到足夠的幽靈保護。AMD還發布了微程式碼更新，以保護採用AMD處理器的系統免受幽靈攻擊，因此這不僅僅是英特爾的事情。

英特爾的管理引擎出現了一些安全漏洞，這些漏洞可能會讓具有本地計算機訪問許可權的攻擊者破解管理引擎軟體，或者讓具有遠端訪問許可權的攻擊者造成麻煩。幸運的是，這些遠端攻擊隻影響到啟用了Intel主動管理技術（AMT）的企業，因此普通消費者沒有受到影響。

這些只是幾個例子。研究人員還證明，在某些PC上濫用UEFI韌體是有可能的，利用它可以深入訪問系統。他們甚至演示了持久的勒索軟體，可以訪問計算機的UEFI韌體並從那裡執行。

業界應該像任何其他軟體一樣更新每臺計算機的UEFI韌體，以防將來出現這些問題和類似的缺陷。

相關：如何檢查您的電腦或**是否受到保護，以防熔燬和幽靈

多年來更新過程是如何中斷的

早在UEFI出現之前，BIOS的更新過程就一直一團糟。傳統上，電腦附帶了老式的BIOS，很少會出錯。個人電腦**商可能會提供一些BIOS更新來解決一些小問題，但通常的建議是，如果你的電腦工作正常，就不要安裝它們。你經常不得不從一個可啟動的DOS驅動器啟動來重新整理BIOS更新，每個人都聽說過BIOS更新失敗和阻塞pc的故事，使得它們無法啟動。

事情變了。UEFI韌體做的更多，英特爾在過去幾年中釋出了CPU微碼和英特爾ME等幾大更新。每當英特爾釋出這樣的更新，英特爾所能做的就是說“問你的計算機**商。”你的計算機**商或主機板**商，如果你建立自己的電腦必須採取英特爾的程式碼，並將其整合到一個新的UEFI韌體版本。然後他們必須測試韌體。哦，每個**商都必須對他們銷售的每臺個人電腦重複這個過程，因為他們都有不同的UEFI韌體。正是這種手工操作使得Android**在過去很難更新。

在實踐中，這意味著通常需要很長時間甚至幾個月才能獲得必須透過UEFI交付的關鍵安全更新。這意味著**商可能會聳聳肩，拒絕更新只有幾年歷史的個人電腦。而且，即使**商釋出了更新，這些更新通常也會被隱藏在**商的支援網站上。大多數PC使用者永遠不會發現這些UEFI韌體更新存在並安裝它們，因此這些漏洞最終會在現有PC上存在很長一段時間。一些**商仍然讓你安裝韌體更新透過引導到DOS的第一隻是為了讓它更加複雜。

人們對此做了什麼

真是一團糟。我們需要一個簡化的過程，**商可以更容易地建立新的UEFI韌體更新。我們還需要一個更好的過程來發布這些更新，這樣使用者就可以讓他們自動安裝在他們的電腦上。現在這個過程是緩慢的和手動的，應該是快速和自動的。

這正是微軟正試圖對穆專案所做的。官方檔案是這樣解釋的：

Mu is built around the idea that shipping and maintaining a UEFI product is an ongoing collaboration between numerous partners. For too long the industry has built products using a “forking” model combined with copy/paste/rename and with each new product the maintenance burden grows to such a level that updates are near impossible due to cost and risk.

Mu專案旨在透過簡化UEFI開發流程和幫助所有人協同工作，幫助PC**商更快地建立和測試UEFI更新。希望這是缺失的部分，因為微軟已經讓PC**商更容易自動向使用者傳送UEFI韌體更新。

具體來說，微軟允許PC**商透過Windows Update釋出韌體更新，並至少從2017年起提供了相關文件。微軟還於2018年10月宣佈了元件韌體更新；這是一種開源模式，**商可以使用它來更新UEFI和其他韌體。如果個人電腦**商也能做到這一點，他們就可以很快地向所有使用者提供韌體更新。

這也不僅僅是Windows的東西。在Linux上，開發人員正試圖讓PC**商更容易使用Linux供應商韌體服務LVFS釋出UEFI更新。PC供應商可以提交他們的更新，它們將出現在GNOME軟體應用程式中供下載，該應用程式用於Ubuntu和許多其他Linux發行版。這一努力可以追溯到2015年。戴爾（Dell）和聯想（Lenovo）等個人電腦**商也在參與。

這些針對Windows和Linux的解決方案影響的不僅僅是UEFI更新。硬體**商將來可以用它們來更新從USB滑鼠韌體到固態驅動器韌體的所有東西。

正如SwiftOnSecurity在談到固態硬碟韌體和加密問題時所說，韌體更新是可靠的。我們需要從硬體**商那裡得到更好的期望。

Firmware updates can be reliable. I have initiated at least 3,000 Dell BIOS updates with only one failure, and that old PC was already in service for failing.

Re-think what you think is impossible. Firmware servicing is not impossible or risky. It requires people demand better.

— SwiftOnSecurity (@SwiftOnSecurity) November 6, 2018

圖片來源：Intel，Natascha Eibl，kubais/Shutterstock.com網站.