Razer i poważna wpadka w temacie bezpieczeństwa. Komuś się "zapomniało"

Jak donosi badaczka bezpieczeństwa Bailey Fox, duża część sprzedawanych obecnie notebooków Razera stanowi wręcz zaproszenie dla crackerów. O co chodzi? Otóż w fabryce z jakiegoś powodu zapomniano dezaktywować tryb producenta w BIOS-ie (Intel Manufacturing Mode). W efekcie moduł jądra systemu FUSE, umożliwiający programowanie pamięci zawierającej oprogramowanie układowe pozostaje całkowicie otwarty. Napastnik może wgrać malware i sprawić, aby ten rozpoznawany był jako element firmware'u, albo zaatakować kanałem bocznym przez Meltdown.

Zagrożone modele laptopów to: Razer Blade 15 Advanced 2019 i 2018, Razer Blade 15 2018, a także Razer Blade Stealth 13 2019. Czyli tak naprawdę cały aktualny katalog firmy.

Co ciekawe, dokładnie taką samą podatność znaleziono w sprzęcie Apple'a. Wówczas oznaczono ją jako CVE-2018-4251. Jednak w Cupertino błyskawicznie zareagowano stosowną aktualizacją, czego Razer nie zrobił. Pomimo iż, jak twierdzi Fox, byli o luce wielokrotnie informowani.

Razer zareagował dopiero wtedy, gdy sprawa została wyciągnięta za pośrednictwem Twittera na forum publiczne. Miało to miejsce 21 marca br., ponoć miesiąc po przesłaniu przedsiębiorstwu zakulisowej notatki. – Razer został ostrzeżony o pewnych lukach w Intel Management Engine w kilku modelach laptopów – przyznał jeden z pracowników w rozmowie z "The Register".

Wreszcie wydano też oczekiwaną łatkę, obiecując zarazem, że firmware w egzemplarzach nowych zostanie poprawiony domyślnie. Szło jak krew z nosa, ale co by nie mówić, chociaż się udało.

Aktualizacja 8.04.2019, 15:12

Skontaktował się z nami przedstawiciel Razera w Polsce. Potwierdza, że problem występował, ale już nie powinien niepokoić użytkowników. Firma wydała niezbędne łatki, a nowe egzemplarze opuszczają fabrykę bez błędów w oprogramowaniu. Oto pełna treść nadesłanego oświadczenia: