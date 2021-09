Windows-Updates, so manche Treiber-Installation und einiges mehr setzen nach der Installation einen Neustart voraus. Dies gilt auch für ein BIOS-Update. Intel arbeitet schon seit geraumer Zeit an einem Verfahren, welches BIOS-Update bzw. ein Flashen des Chips ermöglichen soll, während das Betriebssystem läuft und dann keinerlei Neustart voraussetzt.

Intel hat nun eine finale Spezifikation für Intel Management Mode Firmware Runtime Update - OS Interface vorgestellt (PDF). Entsprechende Patches für den Linux-Kernel hat man ebenfalls bereits veröffentlicht. Basis bildet das bereits bekannte "UEFI Capsule Image", welches schon für einige Notebooks zum Einsatz kommt und BIOS-Updates per Windows-Update-Funktion bereitstellen soll. Diese Funktion kommt ebenfalls beim Linux Vendor Firmware Service (LVFS) zum Einsatz.

Im Management Mode (MM) sollen auch weitere Systeme in die Lage versetzt werden, den Flash-Chip zu beschreiben. Dazu wird das UEFI Capsule Image über ein spezielles OS Interface injiziert. Letztendlich soll dies ein BIOS-Update ohne Neustart ermöglichen. Gewisse Änderungen im BIOS setzten aber weiterhin einen Neustart voraus.

Ein BIOS-Update ohne Neustart wäre auf dem Desktop eher eine Frage der Bequemlichkeit. Wichtiger ist dies im Serverbereich, denn hier zählt für den Betrieb jede Downtime, die vermeidbar ist. VMs können für solche Neustarts auch auf anderen Hardware verschoben werden – somit wird ein (wenn auch kurzzeitiger) Ausfall der Hardware durch den Neustart vermieden. Aber dies ist nicht für alle Services bzw. Anbieter möglich.

Intels System Management Mode und abgekürzter Management Mode stellt allerdings auch ein weiteres Einfallstor dar. Es gab bereits einige Angriffe darauf und wie so oft gilt: Je mehr Oberfläche in Form von Schnittstellen geboten werden, desto eher können diese auch Lücken enthalten, die ausgenutzt werden. Das Nachladen von BIOS-Code wäre hier natürlich besonders gefährdet, da Schadcode auf einer ganz anderen Ebene in das System eingeschleust würde. Natürlich finden hier noch Verifikationen statt, aber auch diese ließen sich bereits aushebeln.

Noch ist Intels Management Mode Firmware Runtime Update - OS Interface nicht in allen Details offengelegt. Es ist ohnehin zu erwarten, dass dies eher bei den Servern angewendet wird. Auf dem Desktop wird es weiterhin so bleiben, dass ein BIOS-Update auch einen Neustart voraussetzt. Inzwischen gibt es aber einige Funktionen im BIOS die geändert werden können, ohne dass dazu ein Neustart notwendig ist. Intels Extreme Tuning Utility kann bestimmte Speichereinstellungen nun in Echtzeit vornehmen. So kann der Speichertakt geändert werden, ohne dass dazu ein Neustart notwendig ist. Dies gilt auch für die Gear-Modi.