Der von der Linux Foundation betriebene Linux Vendor Firmware Service (LVFS) hat die die Marke von 100 Millionen Firmware-Updates überschritten.

Die alternative und quelloffene UEFI-Firmware unters

Der Beitrag Neue stabile Libreboot-Version unterstützt weitere Mainboards erschien zuerst auf LinuxCommunity.

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Die neue Firmware-Richtlinie von Debian wird umgesetzt. Nach der 2. Alpha des Debian-Installers setzt nun auch APT 2.6 die neue Richtlinie um.

Quelle

Debian hat nach langem Ringen im Oktober die Richtlinien für unfreie Firmware auf Installationsmedien angepasst. Jetzt hat die Umsetzung begonnen.

Quelle

Die Open-Source Firmware Foundation (OSFF) will offene Firmware in der Industrie zu fördern. Gerade ist der Stiftung mit Coreboot ein wichtiges Projekt aus diesem Bereich beigetreten.

Quelle

Nach einer längeren Entscheidungsphase hat sich das Debian-Projekt dafür ausgesprochen, Closed-Source-Firmware in die offizielle Distribution aufzunehmen.

Die Abstimmung über das Thema war nötig geworden, nachdem es für viele Geräte inzwischen Freie Treiber gibt, die Firmware aber weiterhin Closed-Source ist und entsprechende Abhängigkeiten mitbringen. Die Firmware-Updates sind unter anderem auch für Security-Fixes nötig.

Es standen diverse Vorschläge zum Thema zur Abstimmung, von der kompletten Ablehnung bis zur Zustimmung. Entschieden haben sich die Debian-Mitglieder für die Option 5, die den  Debian Social Contract in Punkt 5 um den Satz erweitert: „Die offiziellen Debian-Medien können Firmware enthalten, die sonst nicht Teil des Debian-Systems ist, um die Verwendung von Debian mit Hardware zu ermöglichen, die solche Firmware benötigt.“

Der Vorschlag besagt, dass künftig nicht-freie Firmware-Pakete aus dem “non-free-firmware”-Abschnitt des Debian-Archivs in offiziellen Medien (Installer-Images und Live-Images) aufgenommen werden. Die so enthaltenen Firmware-Binärdateien werden dann standardmäßig aktiviert, wenn das System feststellt, dass sie benötigt werden, aber wenn möglich, sollen Möglichkeiten für die Benutzer vorgesehen sein, dies beim Booten zu deaktivieren, etwa via Boot-Menü-Option, Kernel-Befehlszeile oder ähnliches.

Wenn das Installations-/Live-System läuft, sollen dem Benutzer Informationen darüber zur Verfügung gestellt werden, welche Firmware geladen wurde (sowohl freie als auch unfreie), und diese Informationen sollen auch auf dem Zielsystem gespeichert sein, damit User sie später finden können, heißt es im gewählten Vorschlag. Sollte sich herausstellen, dass unfreie Firmware notwendig sei, werde das Zielsystem auch so konfiguriert, dass die unfreie Firmware-Komponente standardmäßig in der Datei apt sources.list verwendet werde. Die Benutzer sollten so Sicherheitsaktualisierungen und wichtige Korrekturen für Firmware-Binärdateien wie jede andere installierte Software erhalten.

Das Debian-Projekt hat nun einige Aufgabe vor sich, um diese Änderungen umzusetzen. Wie der frühere Projektleiter Steve McIntyre schreibt, sollte die Arbeit noch idealerweise vor dem Freeze für Debian 12 (Bookworm), das im Januar 2023 erscheinen soll, abgeschlossen sein.

Der Beitrag Debian ermöglicht Closed-Source-Firmware erschien zuerst auf Linux-Magazin.

Die Debian-Entwickler sind aufgerufen, bis zum 1. Oktober zu entscheiden, wie das Projekt künftig mit unfreier Firmware umgeht. Sechs Vorschläge stehen zur Wahl.

Quelle

Das Werkzeug aktualisiert unter Linux die Firmware v [...]

Der Beitrag Neue Fwupd-Version liest und ändert BIOS-Einstellungen erschien zuerst auf LinuxCommunity.

Debian GNU/Linux ist konservativ im besten Sinn des Wortes, wenn es um die Begrifflichkeit freier Software geht. Trotzdem kann sich das Projekt der Realität nicht entziehen.

Quelle

Das Tool Fwupd aktualisiert unter Linux die Firmware [...]

Der Beitrag Aktualisiertes Fwupd unterstützt weitere Geräte erschien zuerst auf LinuxCommunity.

Das Tool Fwupd aktualisiert unter Linux die Firmware [...]

Der Beitrag Fwupd-Team startet Zertifizierungsprogramm und gibt neue Version frei erschien zuerst auf LinuxCommunity.