Libreboot 25.06: cos'è e come funziona il sostituto dei BIOS proprietari

Libreboot è un progetto che mira a fornire un firmware libero e aperto per il BIOS/UEFI delle schede madri per sistemi x86 e ARM. L’obiettivo è quello di sostituire le soluzioni proprietarie, che spesso limitano l’utente nelle personalizzazioni e nelle modifiche del sistema, con un firmware completamente libero.

Nato nel 2013, Libreboot è una variante del progetto Coreboot ed è direttamente sostenuto dalla Free Software Foundation al fine di rimpiazzare il BIOS proprietario, presente nella maggior parte dei computer. Il supporto rimane ristretto, purtroppo, a un numero limitato di schede madri selezionate sulle quali diventa possibile effettuare il flashing del BIOS preinstallato per sostituirlo con Libreboot. La lista è comunque in continuo aggiornamento: controllate se c’è anche il vostro PC.

Le principali caratteristiche di Libreboot

A differenza di altri firmware, Libreboot è completamente privo di binari di tipo proprietario. L’utente è libero di ispezionare, modificare e ridistribuire Libreboot. Inoltre, il progetto vanta massimo supporto per l’avvio di qualunque sistema operativo, comprese ovviamente le distribuzioni Linux, oltre a OpenBSD e FreeBSD.

Rispetto a Coreboot, Libreboot semplifica l’installazione e l’utilizzo del “firmware aperto” sull’hardware supportato, ponendo l’accento sugli aspetti legati alla sicurezza. Leah Rowe, responsabile del progetto, osserva che Libreboot è dedicato a tutti quegli utenti che desiderano mantenere pieno controllo su ciò che viene caricato all’avvio del computer. A chi insomma preferisce non professare alcun “atto di fede” nei confronti di un componente proprietario, qual è il BIOS/UEFI presente di default sulla maggior parte dei PC, che ci si ritrova sempre preinstallato sulla macchina sin dal suo primo avvio. In un altro articolo abbiamo visto come entrare nel BIOS con qualunque dispositivo.

Ricordate che alcuni produttori, anche nel recente passato, hanno dovuto ammettere la presenza di codice malware o spyware nei loro firmware? Ecco, Libreboot spazza via questi rischi consegnando il completo controllo dei computer agli utenti che li hanno acquistati.

Le novità dell’ultima versione

A fine giugno 2025, gli amministratori del progetto Libreboot hanno annunciato la disponibilità dell’ultima versione del firmware: Libreboot 25.06.

Uno degli obiettivi principali della release 25.06 è il rafforzamento della sicurezza del bootloader. Sono state quindi introdotte correzioni fondamentali, tra cui:

• Wipe della passphrase LUKS in GRUB: la chiave viene ora rimossa dalla memoria dopo l’avvio, prevenendo possibili attacchi che potrebbero accedere a informazioni sensibili.
• 73 fix per CVE critiche integrati nel codice sorgente di GRUB.
• Disabilitazione dell’HyperThreading/SMT per le piattaforme ThinkPad T480 e Dell OptiPlex 3050 per mitigare le vulnerabilità legate all’esecuzione speculativa.
• ./mk inject più sicuro: i file immagine ora sono deliberatamente non flashabili finché l’utente non esegue il comando inject, riducendo il rischio di brick.

Inoltre, sono stati introdotti controlli più stringenti nella gestione dei pacchetti, evitando installazioni automatiche potenzialmente distruttive.

Il sistema di build di Libreboot (lbmk) risulta aggiornato a valle di un’importante attività di refactoring e consolidamento. La piattaforma provvede anche alla randomizzazione degli indirizzi MAC di default, per evitare che più utenti utilizzino lo stesso MAC address generico. Gli sviluppatori hanno anche previsto la possibilità gestire l’indirizzo MAC con apposite istruzioni: setmac restore e setmac keep.

Anche la struttura interna del codice è stata resa più modulare con nuove funzioni come scankconfig() e find_exec().

Microcodice CPU: trasparenza e libertà di scelta per l’utente

Libreboot 25.06 fornisce due serie distinte di immagini ROM per ciascuna scheda madre x86 supportata:

• una con il microcodice della CPU incluso;
• una senza microcodice, per chi desidera un firmware completamente libero da blob binari.

Il microcodice della CPU è una componente software di basso livello che istruisce il processore su come eseguire correttamente il proprio set di istruzioni. È utilizzato per correggere difetti nel silicio, ottimizzare il comportamento interno del processore e mitigare vulnerabilità di sicurezza.

Sebbene la filosofia di Libreboot sia quella di ridurre al minimo (o eliminare del tutto) la presenza di software proprietario nel firmware, il team riconosce che gli aggiornamenti di microcodice sono essenziali per la stabilità e la sicurezza del sistema. Per questo motivo, le immagini ROM con microcodice aggiornato sono comunque fornite.

Tuttavia, la scelta finale spetta all’utente: Libreboot consente di decidere liberamente se utilizzare una ROM con microcodice o preferire una versione completamente priva di componenti binarie.

Alcuni aspetti importante da evidenziare

Tutte le schede madri x86 supportate possono funzionare anche senza microcodice, ma alcune funzionalità potrebbero risultare limitate o meno stabili.

Le piattaforme ARM, invece, non utilizzano affatto microcodice, rendendo ancora più pulito e completamente libero il firmware su quei sistemi.

L’impostazione scelta dai gestori di Libreboot mantiene un equilibrio tra pragmatismo e ideologia, fornendo agli utenti una base sicura ma nel pieno rispetto dei principi del software libero.