GaryOderNichts hat einen neuen Exploit für die Wii U veröffentlicht, der ein Versäumnis im USB-Host-Stack der Konsole ausnutzt, um Code sehr früh beim Boot auszuführen – damit lassen sich in Verbindung mit dem ebenfalls veröffentlichten Recovery Menu u.a. Coldboot-Haxchi-Bricks fixen!
Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks! Ein Raspberry Pi Pico, Zero, Steam Deck oder eine hackbare Nintendo Switch werden benötigt!
Mit dem Wii U Recovery Menu lassen sich u.a. Bricks reparieren, die durch den unsachgemäßen Umgang mit Coldboot Haxchi entstanden sind. Muss über UDPIH gebootet werden!
Konkret handelt es sich dabei um ein Versäumnis beim Parsen der USB-Deskriptoren. Mit diesen Deskriptoren stellen USB-Geräte verschiedene Informationen über sich selbst bereit – bspw. die USB-Version, die Hersteller- und Produkt-ID, usw. Zuerst werden beim Start die Geräte-Deskriptoren vom USB-Host-Stack gelesen; anschließend folgen die Konfigurations-Deskriptoren. Diese Deskriptoren haben keine feste Größe, sondern lege diese selbst in einem vorgegebenen Feld fest. Zudem müssen einige Felder zusätzlich byte-geswapped werden, da diese nur in Little Endian vorliegen, aber in Big Endian benötigt werden.
Nintendo hat es versäumt, zu prüfen, ob die angegebene Größe der tatsächlichen Größe entspricht, was einen "out-of-bounds" Byteswap ermöglicht. Der Blogbeitrag von GaryOderNichts geht tiefer ins Detail.
Um den Bug auszunutzen, muss man also ein Gerät besitzen, welches USB-Geräte und somit beliebige USB-Deskriptoren emulieren kann. Die populärsten sind zweifelsohne der Raspberry Pi Pico und der Raspberry Pi Zero, die beide sehr günstig zu haben sind. Eine genaue Anleitung stellt GaryOderNichts auf GitHub zur Verfügung – kurz gesagt muss der Pi Pico geflashed und beim Pi Zero ein Kernel-Modul integriert werden. Anschließend muss das Recovery Menu auf die SD-Karte der Wii U platziert und beim Start der Konsole (beim "Wii U" Logo) der Pi eingesteckt werden.
Im Recovery Menu lässt sich u.a. der Coldboot-Titel wieder auf das Wii-U-Menü zurücksetzen, OTP + SEEPROM dumpen, die PIN des GamePads anzeigen uvm.
Das dürfte wieder Leben in etliche Wii Us einhauchen, die durch den unsachgemäßen Umgang mit Coldboot Haxchi gebrickt wurden!
Lange Zeit war es still in der Wii U Homebrew-Szene – die Ankündigung im Dezember war nur der Auftakt zu etwas viel größerem: Eine komplett neue Homebrew-Umgebung für die Wii U. WiiDatabase.de hat tiefere Einblicke bekommen.
Maschell hat eine öffentliche Beta von Aroma veröffentlicht!
Team Xecuter hat heute einen neuen Coldboot-Exploit für die Nintendo Switch angekündigt, welcher auch auf der neuen Switch-Revision funktionieren wird.
Außerdem erklären sie, wie der alte USB-RCM-Exploit behoben wurde, indem das obere Byte im wLength-Feld im USB-RCM-Endpoint 0 Code per iPatch genullt wird.
Weitere Details zum neuen Coldboot-Exploit sind bisher nicht bekannt.
Kurzer Nachtrag zum FAQ zu Fusée Gelée: Für die Switch-Firmware > 3.0.0 wird anfangs ein "trivialer Hardmod" benötigt – diese Firmware-Versionen werden also bei Erscheinen von Fusée Gelée und der Atmosphère CFW im Sommer nicht komplett per Software modbar sein.
Wer aber noch länger warten kann und sich den "trivialen Hardmod" nicht zutraut, kann auch auf den TrustZone-Exploit "déjà vu" warten. Dieser wird zurückgehalten, da er die einzige Hoffnung ist, einen Einblick in die neue Hardware-Revision der Switch mit dem internen Namen "Mariko" zu bekommen. Sobald er aber von Nintendo gepatcht wurde, wird dieser veröffentlicht. Dieser läuft aber noch nicht auf der Firmware 5.x.
Was ist aber mit "trivialer Hardmod" gemeint? Nun, dazu gibt es keine weiteren Informationen – es wird zumindest kein permanenter Hardmod sein. Im letzten Beitrag haben wir geschrieben, dass Pins kurzgeschlossen werden müssen – das war falsch. Richtig ist, dass es so einfach sein wird, wie das Kurzschließen von Pins mit einer Pinzette. Natürlich wird zum Öffnen der Switch ein passender Tri-Wing-Schraubenzieher benötigt.
Die Firmware 1.0.0 wird am ehesten eine "Software-only"-Lösung bekommen.
UPDATE: Da die Frage aufkam: Die Switch muss nicht bei jedem Bootvorgang aufgeschraubt werden ("No, you’re not going to need to disassemble your switch every time you want to boot it. I consider the 'inconvenient' process something I’d be willing to do on the main Switch the spouse and I use for games; and I definitely don’t have the patience to take out all those tiny screws every time I want to boot."). Und nochmal: Das mit den Pins ist ein Vergleich, wir wissen noch nicht, was man genau tun muss (das kann es natürlich auch sein)!
UPDATE 2: Der Hardmod muss nur einmal durchgeführt werden.
SciresM hat auf dem ReSwitched-Discord angekündigt, dass seine Custom Firmware "Atmosphère" zusammen mit dem Coldboot-Exploit "Fusée Gelée" im Sommer für alle Firmware-Version für die aktuelle Hardware-Revision erscheinen soll.
Nutzer auf der Firmware 1.0.0 werden eventuell früher mithilfe von Jamais Vu versorgt. Nutzer mit der Firmware <= 4.1.0 sollten trotzdem nicht aktualisieren, da das Updaten das Ausführen der CFW/von Homebrew "weniger bequem" sein soll. Was damit gemeint ist, ist unbekannt, jedoch meinte Kate u.a., dass man Nutzer davon abhalten möchte, mehrere Switches zu kaufen (eine für CFW, eine für aktuelle Spiele), aber man keinen Hardmod benötigen wird. SciresM möchte auch unbedingt Zugriff auf die neue Hardware-Revision, wenn sie denn erscheint – das erinnert an den ersten 3DS-Exploit, der dadurch verschoben wurde.
Bei Fusée Gelée handelt es sich um einen Coldboot-Exploit, der auf allen Switches und allen Firmware-Versionen funktioniert – da es sich um einen Fehler in der Bootrom handelt, kann dieser nur mithilfe einer neuen Hardware-Revision behoben werden, welche Nintendo anscheinend schon vorbereitet. Atmosphère wird auch einen EmuNAND unterstützen, sodass auf die aktuelle Firmware im EmuNAND aktualisiert werden kann.
Letzte Woche zeigte Kate Temkin ihren Coldboot-Exploit "fusée gelée" für die Nintendo Switch, der vollkommen softwareseitig funktioniert und keine extra Hardware benötigt. Es stellte sich jedoch heraus, dass der Exploit nicht nur die Switch, sondern alle Tegra-X1-Geräte und weitere Tegras (u.a. den Tegra 3 und K1) betrifft.
Kate steht in Kontakt mit verschiedenen Herstellern, um die Tragweite des Exploits herauszufinden. Switch-Besitzer sollten aber nicht traurig sein, denn fusée gelée soll in Zukunft trotzdem veröffentlicht werden.
Das ReSwitched-Team hat heute zwei große Ankündigungen gemacht: Ihnen ist die TrustZone Code-Ausführung auf der aktuellen Switch-Firmware 4.1.0 und ein Coldboot-Exploit per Software gelungen.
Nochmal zur Erinnerung: TrustZone verwaltet die gesamte Hardware und die Crypto der Nintendo Switch – damit ist Zugriff auf alles möglich. Motezazer, ktemkin und SciresM ist die TrustZone Code-Ausführung auf der aktuellen Switch-Firmware 4.1.0gelungen. Der letzte Stand war, dass ein Fehler im Memory-Controller nicht mehr ausgenutzt werden konnte.
"Fusée gelée" heißt der Coldboot-Exploit, den Kate Temkin entdeckt und implementiert hat. Mit einem Coldboot-Exploit kann Code direkt beim Start des Systems ausgeführt werden. Bei diesem Exploit handelt es sich um einen Software-Bug – es wird also kein Hardmod benötigt! Ein dreisekündiges Video dazu findet ihr auf YouTube. Dieser Exploit betrifft alle Tegra-X1-Geräte.
Natürlich ist ein Update jetzt absolut nicht mehr empfohlen! Das ist ein extrem schneller Fortschritt und man kann das ReSwitched-Team nur beglückwünschen!
Wer Updates blocken will sollte beide DNS-Server seiner Switch auf "173.255.238.217" setzen.
Fail0verflow hat überraschend einen Coldboot-Exploit für den NVIDIA Tegra (dem SoC der Switch) gezeigt.
Man sieht in dem Video lediglich, wie die Switch angeschaltet wird und folgender Text durchscrollt:
"fail0verflow presents shofEL2, a coldboot for NV Tegra. Greetz from this dinky ARMv4T core to all Switch hax0rz! Interesting times ahead…"
Danach wird der normale Bootscreen angezeigt.
Ein Coldboot-Exploit gibt schon beim Start Vollzugriff auf das System. Unterstützte Firmware-Versionen oder andere Details wurden nicht genannt, es ist aber wohl nur eine Frage der Zeit. In dem Video scheint die Switch aber auf einer alten Firmware zu sein, da der Lockscreen minimal anders aussieht (alt vs neu).
UPDATE: In einem Nachfolgetweet erklärt fail0verflow, dass der Bootrom-Exploit nur mit einer neuen Hardware-Revision patchbar sei. Außerdem braucht er keinen Modchip.
In die config.txt von Haxchi kann nun "sysmenu" eingetragen werden, was das Systemmenü der Wii U mit den gleichen Patches wie Coldboot Haxchi lädt. Das heißt, die Signaturen werden deaktiviert, Regionpatches angewendet, etc. So muss nicht mehr Mocha auf einen Knopf gelegt werden, wenn kein RedNAND verwendet wird, was den Start beschleunigt.
- use same iosu patcher for both haxchi and cbhc to allow haxchi to benefit from it
- added new config option to haxchi, "sysmenu" which will relaunch you into the system menu with signature, region patches and everything else that cbhc patches
Changes to CBHC and Haxchi:
- small logic correction in the iosu patcher
Wenn die interne CFW verwendet wird, kann das DS Virtual-Console-Spiel nicht mehr auf ein USB-Gerät verschoben oder gelöscht werden. Dies dient als Schutz für euch, da eure Wii U sonst brickt.
- added anti move/delete protection of the ds vc title when in CBHC CFW
Wenn Systemmenü-Autoboot aktiviert ist, wird nun, wenn kein Standard-Nutzer gewählt ist, die Nutzerauswahl angezeigt. Zudem wurden die System-Reload-Patches hinzugefügt.
- when starting up the console with system menu autoboot CBHC will now start the menu into mii selection if no default mii is set instead of just using the first mii
- added system reload patches to CBHC, thanks to dimok for patch location and elf patcher!
Es kann jetzt in die neue Mocha CFW gebootet werden, was besonders für User nützlich ist, die einen RedNAND ohne eine fw.img nutzen möchten. Zudem kann nun eine spezielle Version von ftpiiu everywhere verwendet werden.
- boot into mocha cfw which can be useful for people who want rednand without a fw.img
- use a version of ftpiiu-everywhere which works with booting into system menu and homebrew channel