UEFI-BIOS bekommt ein Sicherheits-Expertenteam
Das UEFI Security Response Team (USRT) unter Führung von Phoenix soll zentraler Ansprechpartner für Sicherheitslücken des BIOS-Nachfolgers sein.
Das UEFI Security Response Team (USRT) soll die UEFI-Sicherheit verbessern.
(Bild: UEFI.org)
Die Industrievereinigung UEFI Forum reagiert auf die zahlreichen demonstrierten Sicherheitslücken im UEFI-BIOS mit der Bildung eines UEFI Security Response Team (USRT). Die Führung übernimmt Dick Wilkins, der für den Firmware-Hersteller Phoenix arbeitet. Das USRT soll vor allem Ansprechpartner sein für "White Hat"-Hacker, die Sicherheitslücken finden. Dazu gibt es auch eine E-Mail-Adresse mit zugehörigem PGP-Schlüssel.
Das UEFI Security Response Team ist als Subkomitee des UEFI Board organisiert, aber keine eigenständige Arbeitsgruppe. Das USRT soll wohl den nach vielen Bugs und massiver Kritik etwa von Google angeknacksten Ruf des UEFI-BIOS verbessern und wird von den Firmen Apple, Microsoft, Intel, AMD, ARM, Dell, Lenovo, HP und Red Hat sowie den UEFI-Zulieferern AMI, Insyde und eben Phoenix getragen. Google setzt derweil auf UEFI-Alternativen wie Coreboot/Libreboot oder NERF.
Mehr Sicherheitsbewusstsein
Zweimal jährlich veranstaltet das UEFI Forum Treffen namens Plugfests. Dort spielt in den vergangenen Jahren die Sicherheit eine immer größere Rolle. Viele Vorträge greifen zuvor enttarnte Sicherheitslücken auf und geben Hilfestellung zum sicheren Programmieren von Firmware-Funktionen.
Während beim "klassischen" BIOS der Code der unterschiedlichen Hersteller wie AMI, Award, Phoenix oder Insyde oft proprietär und kaum dokumentiert war, stützen sich viele Funktionen heutiger UEFI-BIOSse auf die offene Implementierung Tianocore EDK II. Dort eingebaute Fehler und Schwachstellen treten deshalb auch in vielen anderen UEFI-Varianten auf. Doch es gibt auch hausgemachte Probleme wie ungenutzte Schutzfunktionen.
(ciw)
