- 23.12.14
- 18:54
- Artikel
-
+3-2
Angriff auf Apples EFI ROM wird beim Hackerkongress 31C3 gezeigt
@LastFrontier:
Bitte denk nochmal über alles nach, du verbreitest Unwahrheiten in deinen vielen Posts! Bitte lies dir das hier durch. Dem Artikel nach ist wirklich nur das Mac EFI betroffen.
EFI ist eine Firmware-Spezifikation (also existiert wirklich nur auf dem Papier).
Für diese Spezifikation gibt es mehrere Implementierungen (genau wie es viele BIOS Implementierungen gibt und die vielen Implementierungen haben verschiedene Bugs). Viele davon basieren auf Referenzcode von Intel. Der enthielt nun (dem Heise Artikel nach) zu gewissen Zeiten einige Bugs. Und weil die EFI Implementierung nunmal nur per Update von Mainboardherstellern verteilt wird, müssten die nun alle nachziehen um das zu patchen. Das sind schlimme Sicherheitslücken, die nun aber nichts hiermit zu tun haben.
In dem Talk geht es um zwei Sicherheitslücken, von denen einer in der speziellen EFI Implementierung von Apple ist. Es geht nicht um die Bugs aus deinem Heise Artikel, denn die gehören zu einer anderen EFI Implementierung.
Der erste Satz ist:
"It is possible to use a Thunderbolt Option ROM to circumvent the cryptographic signature checks in Apple's EFI firmware update routines."
Die spezielle Mac EFI Implementierung hat also einen Fehler in der Option ROM Routine. Normalerweise checkt der Mac: Hey, kommt das Update von Apple oder nicht? Falls ja, installiert er es. Der Fehler lässt nun zu, dass man den Check umgehen kann.
Der zweite Fehler (der scheinbar nicht als Fehler angesehen wird) ist, dass Thunderbolt Option Roms nicht nur lesbar, sondern wohl auch schreibbar sind:
"Additionally, Thunderbolt devices' Option ROMs are writable from code that runs during the early boot and the bootkit could write copies of itself to new Thunderbolt devices."
Das lässt also zu, dass du es schaffen kannst, dass sich Vulnerabilities damit selbst verbreiten können. Dieser Teil der Attacke ist nicht Mac spezifisch und trifft auf alle Geräte mit Thunderbolt Anschluß zu. Ohne das erste Problem hat das aber keinen Einfluss auf die Firmware.
Daher sind momentan nur Mac EFIs betroffen. Es ist möglich, dass auch andere EFIs so exploitet werden können. Ohne nun nachgeschaut zu haben, kann man das nicht behaupten. Wenn du mir nun zeigst, dass die Update Sicherheitslücke aus dem Referenzcode von Intel stammt und Apple den auch einsetzt, dann und nur dann werd ich dir glauben.
Kommentare
1
Kommentare
geschrieben
0
Antworten
erhalten
3
Likes
erhalten
Angriff auf Apples EFI ROM wird beim Hackerkongress 31C3 gezeigt
@LastFrontier:
Bitte denk nochmal über alles nach, du verbreitest Unwahrheiten in deinen vielen Posts! Bitte lies dir das hier durch. Dem Artikel nach ist wirklich nur das Mac EFI betroffen.
EFI ist eine Firmware-Spezifikation (also existiert wirklich nur auf dem Papier).
Für diese Spezifikation gibt es mehrere Implementierungen (genau wie es viele BIOS Implementierungen gibt und die vielen Implementierungen haben verschiedene Bugs). Viele davon basieren auf Referenzcode von Intel. Der enthielt nun (dem Heise Artikel nach) zu gewissen Zeiten einige Bugs. Und weil die EFI Implementierung nunmal nur per Update von Mainboardherstellern verteilt wird, müssten die nun alle nachziehen um das zu patchen. Das sind schlimme Sicherheitslücken, die nun aber nichts hiermit zu tun haben.
In dem Talk geht es um zwei Sicherheitslücken, von denen einer in der speziellen EFI Implementierung von Apple ist. Es geht nicht um die Bugs aus deinem Heise Artikel, denn die gehören zu einer anderen EFI Implementierung.
Der erste Satz ist:
"It is possible to use a Thunderbolt Option ROM to circumvent the cryptographic signature checks in Apple's EFI firmware update routines."
Die spezielle Mac EFI Implementierung hat also einen Fehler in der Option ROM Routine. Normalerweise checkt der Mac: Hey, kommt das Update von Apple oder nicht? Falls ja, installiert er es. Der Fehler lässt nun zu, dass man den Check umgehen kann.
Der zweite Fehler (der scheinbar nicht als Fehler angesehen wird) ist, dass Thunderbolt Option Roms nicht nur lesbar, sondern wohl auch schreibbar sind:
"Additionally, Thunderbolt devices' Option ROMs are writable from code that runs during the early boot and the bootkit could write copies of itself to new Thunderbolt devices."
Das lässt also zu, dass du es schaffen kannst, dass sich Vulnerabilities damit selbst verbreiten können. Dieser Teil der Attacke ist nicht Mac spezifisch und trifft auf alle Geräte mit Thunderbolt Anschluß zu. Ohne das erste Problem hat das aber keinen Einfluss auf die Firmware.
Daher sind momentan nur Mac EFIs betroffen. Es ist möglich, dass auch andere EFIs so exploitet werden können. Ohne nun nachgeschaut zu haben, kann man das nicht behaupten. Wenn du mir nun zeigst, dass die Update Sicherheitslücke aus dem Referenzcode von Intel stammt und Apple den auch einsetzt, dann und nur dann werd ich dir glauben.