现代计算机没有 BIOS，它们有UEFI。从正在运行的操作系统更新 UEFI 固件是一个标准过程，因此任何设法在具有足够权限的操作系统上执行的恶意软件都可以尝试执行相同操作。但是，大多数 UEFI 不会接受未经制造商数字签名的更新。这意味着不可能用任意代码覆盖它。

然而，这假设：

1. 主板制造商设法将他们的私钥保密
2. UEFI 没有任何意外的安全漏洞，这些漏洞允许用任意代码覆盖它，或者可以被利用来造成损害。

这两个假设不一定成立。

关于泄露的密钥：如果 UEFI 签名密钥为公众所知，那么您可以假设会有很多媒体报道和歇斯底里的修补。如果您关注一些 IT 新闻，您可能会看到很多危言耸听的标题“如果您有 [品牌] 主板，请立即更新您的 UEFI！！！1111oneone”。但另一种可能性是签署秘密泄露给国家行为者的密钥。因此，如果您的工作可能对工业间谍活动感兴趣，那么这对您来说也可能是一个可信的威胁。

关于错误：UEFI 获得了越来越多的功能，这为隐藏错误提供了越来越多的可能性。在您启动“真实”操作系统后，它们还缺少您拥有的大部分内部安全功能。

是的，这绝对是可能的。

如今，随着 UEFI 的普及，它更加令人担忧：UEFI 的攻击面比传统的 BIOS 大得多，并且 UEFI 中的（潜在）缺陷可以用来在没有任何物理访问权限的情况下获得对机器的访问权限（如Eclypsium 的人去年在黑帽大会上展示了）。

实际上，病毒就是软件，所以它可以做任何其他软件可以做的任何事情。

所以简单的方法回答了这个问题，以及“病毒能做 X 吗？”这一类的所有其他问题。是问“软件目前做X吗？”

此类问题可能包括“病毒可以遛我的狗吗？” （并非没有遛狗机器人）；“病毒能让我吃披萨吗？” （是的：遗憾的是，这不是大多数病毒作者的主要关注点）。

当前是否使用软件更新 BIOS (UEFI)？答案是，是的。我的昨晚更新了，当我重新启动时。

所以答案是肯定的。

按照同样的逻辑，病毒也会对您的 CPU、硬盘驱动器和打印机造成（并且过去曾造成）物理损坏。

家庭自动化系统和无人驾驶车辆也可能成为物理损坏的目标，但我知道没有病毒这样做过。

是的，这绝对是可能的。

以下是使用制造商私钥欺诈性签名的恶意软件操作系统更新示例： https ://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/

据卡巴斯基实验室称，大约有 100 万台华硕笔记本电脑被Shadowhammer. 目前尚不清楚这是否改变了固件，但它肯定可以做到。