在近期于加拿大温哥华举办的CanSecWest大会上，两名安全研究人员(Corey Kallenberg和Xeno Kovah)与大家讨论了“你想感染几百万数量级的BIOS?”这一话题。而在现场演示中，他们成功地证实了可以对数以百万计未打补丁的BIOS进行漏洞攻击的可能性。更令人震惊的是，即使是未经训练的普通人，也能够轻松地破解数以百万计的电脑、或者让机器无法使用。

该漏洞适用于自动化的黑客行为。

Kallenberg和Kovah表示，这些漏洞UEFI BIOS代码被制造商广泛采用，但供应商提供的补丁几乎从未被最终用户或系统管理员打上，因此这些设备面临着巨大的安全风险。

来自LegbaCore的研究，通过演示进一步证实了“LightEater”漏洞的概念是可行的，而技嘉、宏碁、微星、惠普、华硕等公司的主板BIOS普遍在列。

“LightEater”能够获取漏洞设备的GPG密钥，并将之传输到一个USB便携式存储设备上，而且整个物理接触的过程，耗时不到2分钟。研究人员们重申——该过程可由非技术人员来轻松完成。

随着BIOS安全性正在成为一个重要问题，个人用户也应该提高警惕，并且留意设备制造商提供的更新。包括联想、戴尔和惠普在内的大厂，已经开始开发新补丁。

最后，为了防止系统管理模式遭到攻击，Kallenberg和Kovah也会向制造商们提供他们的威胁检测解决方案。

[编译自：Neowin , 来源：The Register]