Bylo zveřejněno vydání projektu CoreBoot 4.17, v rámci kterého se vyvíjí bezplatná alternativa proprietárního firmwaru a BIOSu. Kód projektu je distribuován pod licencí GPLv2. Na vzniku nové verze se podílelo 150 vývojářů, kteří připravili více než 1300 změn.
Hlavní změny:
- Chyba zabezpečení (CVE-2022-29264), která se objevila ve vydáních CoreBoot 4.13 až 4.16, byla opravena a umožňuje spouštění kódu na systémech s AP (Application Processor) na úrovni SMM (System Management Mode), která má vyšší prioritu ( Ring -2) než režim hypervizoru a nulový kruh ochrany a neomezený přístup do veškeré paměti. Problém je způsoben nesprávným voláním obslužné rutiny SMI v modulu smm_module_loader.
- Přidána podpora pro 12 základních desek, z nichž 5 se používá na zařízeních s Chrome OS nebo na serverech Google. Mezi poplatky mimo Google:
- Clevo L140MU / L141MU / L142MU
- Dell Precision T1650
- Pracovní stanice HP Z220 CMT
- Star Labs LabTop Mk III (i7-8550u), LabTop Mk IV (i3-10110U, i7-10710U), Lite Mk III (N5000) a Lite Mk IV (N5030).
- Podpora pro základní desky Google Deltan a Deltaur byla ukončena.
- Přidáno nové užitečné zatížení coreDOOM, které vám umožní spustit hru DOOM z Corebootu. Projekt používá doomgeneric kód, portovaný na libpayload. Pro výstup se používá lineární framebuffer Coreboot a soubory WAD s herními prostředky se načítají z CBFS.
- Aktualizované komponenty užitečného zatížení SeaBIOS 1.16.0 a iPXE 2022.1.
- Přidán režim SeaGRUB (GRUB2 přes SeaBIOS), který umožňuje GRUB2 používat zpětná volání poskytovaná SeaBIOSem, například pro přístup k zařízení, které není přístupné z užitečného obsahu GRUB2.
- Přidána ochrana proti útoku SinkHole, která umožňuje spouštění kódu na úrovni SMM (System Management Mode).
- Implementována vestavěná schopnost generovat statické tabulky stránek paměti ze souborů sestavení, aniž by bylo nutné volat nástroje třetích stran.
- Při použití DEBUG_SMI povolte zápis informací o ladění do konzoly CBMEMC z obslužných programů SMI.
- Systém inicializačních obslužných rutin CBMEM byl změněn; namísto obslužných rutin *_CBMEM_INIT_HOOK vázaných na fáze jsou navrženy dva obslužné rutiny: CBMEM_CREATION_HOOK (používá se v počáteční fázi, která vytváří cbmem) a CBMEM_READY_HOOK (používá se ve všech fázích, ve kterých již bylo cbmem vytvořené).
- Přidána podpora PSB (Platform Secure Boot), aktivovaná procesorem PSP (Platform Security Processor) pro ověření integrity systému BIOS pomocí digitálního podpisu.
- Přidána vlastní implementace handleru pro ladění dat přenesených z FSP (FSP Debug Handler).
- Přidány funkce TIS (TPM Interface Specification) specifické pro dodavatele pro čtení a zápis přímo z registrů TPM (Trusted Platform Module) – tis_vendor_read() a tis_vendor_write().
- Přidána podpora pro zachycování dereferencí nulových ukazatelů prostřednictvím registrů ladění.
- Implementována detekce zařízení i2c, usnadňující práci s deskami vybavenými touchpady nebo dotykovými obrazovkami od různých výrobců.
- Přidána možnost ukládat časová data ve formátu vhodném pro generování grafů FlameGraph, které jasně ukazují, kolik času strávíte v různých fázích spuštění.
- Do obslužného programu cbmem byla přidána možnost přidat „časové razítko“ z uživatelského prostoru do tabulky cbmem, což umožňuje odrážet události ve fázích provedených po CoreBootu v cbmem.
Kromě toho si můžeme všimnout, že OSFF (Open-Source Firmware Foundation) zveřejnil otevřený dopis společnosti Intel, který navrhuje, aby balíčky podpory firmwaru (FSP, Firmware Support Package) byly modulárnější a začalo se zveřejňovat dokumentaci související s inicializací Intel SoC. . Nedostatek FSP kódu výrazně komplikuje tvorbu otevřeného firmwaru a brání rozvoji projektů Coreboot, U-Boot a LinuxBoot na hardwaru Intel. Dříve byla podobná iniciativa úspěšná a společnost Intel otevřela kód pro blokový firmware PSE (Programmable Services Engine) požadovaný komunitou.
Zdroj: opennet.ru