Bolo zverejnené vydanie projektu CoreBoot 4.17, v rámci ktorého sa vyvíja bezplatná alternatíva k proprietárnemu firmvéru a BIOSu. Kód projektu je distribuovaný pod licenciou GPLv2. Na tvorbe novej verzie sa podieľalo 150 vývojárov, ktorí pripravili viac ako 1300 zmien.
Hlavné zmeny:
- Chyba zabezpečenia (CVE-2022-29264), ktorá sa objavila vo vydaniach CoreBoot 4.13 až 4.16, bola opravená a umožňuje spúšťanie kódu na systémoch s AP (Application Processor) na úrovni SMM (System Management Mode), ktorá má vyššiu prioritu ( Ring -2), ako je režim hypervízora a nulový kruh ochrany a neobmedzený prístup k celej pamäti. Problém je spôsobený nesprávnym volaním obslužného programu SMI v module smm_module_loader.
- Pridaná podpora pre 12 základných dosiek, z ktorých 5 sa používa na zariadeniach s OS Chrome alebo na serveroch Google. Medzi poplatkami, ktoré nepatria spoločnosti Google:
- Clevo L140MU / L141MU / L142MU
- Dell Precision T1650
- Pracovná stanica HP Z220 CMT
- Star Labs LabTop Mk III (i7-8550u), LabTop Mk IV (i3-10110U, i7-10710U), Lite Mk III (N5000) a Lite Mk IV (N5030).
- Podpora základných dosiek Google Deltan a Deltaur bola ukončená.
- Pridané nové užitočné zaťaženie coreDOOM, ktoré vám umožní spustiť hru DOOM z Corebootu. Projekt používa doomgenerický kód, portovaný na libpayload. Na výstup sa používa lineárny framebuffer Coreboot a súbory WAD s hernými prostriedkami sa načítavajú z CBFS.
- Aktualizované komponenty užitočného zaťaženia SeaBIOS 1.16.0 a iPXE 2022.1.
- Pridaný režim SeaGRUB (GRUB2 cez SeaBIOS), ktorý umožňuje GRUB2 používať spätné volania poskytované SeaBIOSom, napríklad na prístup k zariadeniu, ktoré nie je dostupné z užitočného obsahu GRUB2.
- Pridaná ochrana proti útoku SinkHole, ktorá umožňuje spustenie kódu na úrovni SMM (System Management Mode).
- Implementovaná vstavaná schopnosť generovať statické tabuľky pamäťových stránok zo súborov zostavy bez potreby volať pomocné programy tretích strán.
- Pri používaní DEBUG_SMI povoľte zapisovanie informácií o ladení do konzoly CBMEMC z obslužných programov SMI.
- Systém inicializačných obslužných programov CBMEM bol zmenený; namiesto obslužných programov *_CBMEM_INIT_HOOK viazaných na stupne sa navrhujú dva obslužné programy: CBMEM_CREATION_HOOK (používa sa v počiatočnej fáze, ktorá vytvára cbmem) a CBMEM_READY_HOOK (používa sa vo všetkých fázach, v ktorých už bolo cbmem vytvorené).
- Pridaná podpora PSB (Platform Secure Boot), aktivovaná procesorom PSP (Platform Security Processor) na overenie integrity systému BIOS pomocou digitálneho podpisu.
- Pridaná vlastná implementácia handlera na ladenie dát prenášaných z FSP (FSP Debug Handler).
- Pridané funkcie TIS (TPM Interface Specification) špecifické pre dodávateľa na čítanie a zápis priamo z registrov TPM (Trusted Platform Module) - tis_vendor_read() a tis_vendor_write().
- Pridaná podpora pre zachytávanie dereferencií nulových ukazovateľov prostredníctvom registrov ladenia.
- Implementovaná detekcia zariadení i2c, uľahčujúca prácu s doskami vybavenými touchpadmi alebo dotykovými obrazovkami od rôznych výrobcov.
- Pridaná možnosť ukladať časové údaje vo formáte vhodnom na generovanie grafov FlameGraph, ktoré jasne ukazujú, koľko času sa strávi v rôznych fázach spustenia.
- Do obslužného programu cbmem bola pridaná možnosť pridať „časovú pečiatku“ z užívateľského priestoru do tabuľky cbmem, čo umožňuje odrážať udalosti vo fázach vykonaných po CoreBoot v cbmem.
Okrem toho si môžeme všimnúť, že OSFF (Open-Source Firmware Foundation) zverejnil otvorený list spoločnosti Intel, v ktorom sa navrhuje, aby balíky podpory firmvéru (FSP, Firmware Support Package) boli modulárnejšie a aby sa začala zverejňovať dokumentácia súvisiaca s inicializáciou Intel SoC. . Nedostatok FSP kódu výrazne komplikuje vytváranie otvoreného firmvéru a bráni napredovaniu projektov Coreboot, U-Boot a LinuxBoot na hardvéri Intel. Predtým bola podobná iniciatíva úspešná a spoločnosť Intel otvorila kód firmvéru bloku PSE (Programmable Services Engine), ktorý požadovala komunita.
Zdroj: opennet.ru