我经常注意到主板制造商建议不要安装/升级 BIOS 更新,除非您遇到某种问题。警告通常以以下形式出现(取自 Supermicro BIOS 下载):
警告!
请不要下载/升级 BIOS/固件,除非您的系统存在与 BIOS/固件相关的问题。刷新错误的 BIOS/固件可能会对系统造成不可修复的损坏。
在任何情况下,Supermicro 均不对因 BIOS/固件更新而产生的直接、间接、特殊、偶然或必然损害承担责任。
如果制造商提供了增强功能和安全改进,为什么会建议不要更新自己的 BIOS?例如,此次 BIOS 升级解决了几个英特尔 CVE 问题,仅包含安全更新。仅查看几个 CVE 在我看来,尽管用户没有任何“BIOS/固件相关问题”,但确保 BIOS 更新实际上相当重要。
反对 BIOS 更新的建议是否只是为了在错误的 BIOS 更新导致设备停止工作的情况下减少制造商的责任和支持/保修索赔?用户应如何根据制造商的建议决定是否安装 BIOS 更新?
答案1
BIOS 更新过程可能很复杂,也可能很危险。
如果供应商未在其 BIOS 更新过程中实施完整性和签名检查,则可能会安装错误的 BIOS(例如,用于不同的产品)或包含病毒、后门或其他问题的 BIOS。安装错误的 BIOS 可能会不可逆转地损坏机器,唯一的补救措施是拆除 BIOS 芯片并将其替换为有效的芯片。安装一半下载的映像或一半安装整个映像可能会导致类似的问题,这就是为什么 BIOS 更新过程经常包含有关在 BIOS 更新期间不要关闭机器的严重警告。
话虽如此,一些供应商做在其 bios 升级过程中实施完整性和签名检查,系统将不会接受无效的 bios 映像。许多供应商,甚至是台式机,都有重复的 bios 映像,以便您可以升级一个,如果升级因任何原因失败,则可以退回到另一个。
因此,您看到的警告表明供应商没有实施基本检查,或者在机器中没有冗余 bios 作为后备,或者供应商没有对其发布的更新进行大量测试。如果您需要将机器放在高度安全的环境中,这样的供应商是不合适的。
答案2
如果 BIOS 更新能够提供安全性改进,那么为什么不鼓励进行更新呢?
我没有看到您引用的内容中有这样的主张。您引用的内容是仅在实际需要时才安装固件。这种需要可能是由于以前的固件存在硬件问题,但也可能是由于安全问题,或者因为需要新固件中的一些新功能。
事实上,在修复安全问题的情况下,我看到的情况恰恰相反。比如此信息来自戴尔意思是
... 请参阅下表,了解包含这些漏洞解决方案的戴尔客户端 BIOS 版本。戴尔科技建议所有客户尽早更新。
至于为什么不安装不必要的固件更新:当今的固件需要覆盖一系列系统,这些系统具有广泛的配置,有时仅针对少数客户。考虑到固件在硬件层面上对系统行为的改变程度,更新可能会破坏某些特定配置或使其变得不稳定。并非所有配置都可以事先测试,某些配置可能仅因为某些组件依赖于另一个组件的特定未记录行为而起作用 - 而这种未记录的行为可能会因更新而中断。
因此,他们建议基本上除非真正需要,否则不要触碰正在运行的系统。
答案3
您的问题的标题是错误的,表明您误解了所读的内容。
您的问题的标题是“如果 BIOS 更新可以提供安全性改进,为什么不鼓励进行更新?”
您所引用的内容是“请不要下载/升级 BIOS/固件,除非您的系统存在与 BIOS/固件相关的问题。”
说到安全,如果有与安全相关的升级,那就被视为与安全相关的问题!