BIOS-i riistvarakood Intel Alder Lake'i protsessorite jaoks postitati 4chanile
Paar päeva tagasi netis avaldati uudis Alder Lake'i UFEI koodi lekke kohta Intelilt 4chanil ja koopia avaldati hiljem GitHubis.
Juhtumi kohta Intel ei taotlenud kohe, kuid on nüüd autentsust kinnitanud UEFI ja BIOS-i püsivara lähtekoodidest, mille on postitanud tundmatu isik GitHubi. Kokku on 5,8. aasta novembris välja antud Alder Lake'i mikroarhitektuuril põhinevate protsessoritega süsteemide jaoks avaldatud 2021 GB koodi, utiliite, dokumentatsiooni, blobe ja püsivara moodustamisega seotud konfiguratsioone.
Intel mainib, et seotud failid on ringluses olnud paar päeva ja seetõttu kinnitatakse uudist otse Intelilt, kes mainib, et soovib juhtida tähelepanu, et asjaga ei kaasne uusi riske kiipide turvalisusele ja süsteemid, milles neid kasutatakse, seega ei tohiks juhtumi pärast muretseda.
Inteli sõnul tekkis leke kolmanda osapoole tõttu ja mitte ettevõtte infrastruktuuri kompromissi tulemusena.
"Paistab, et meie patenteeritud UEFI kood on lekitatud kolmanda osapoole poolt. Me ei usu, et see toob esile uusi turvaauke, kuna me ei tugine turvameetmena teabe hägustamisele. Seda koodi katab meie Project Circuit Breakeri vigade hüvitamise programm ja julgustame kõiki teadlasi, kes suudavad tuvastada võimalikke haavatavusi, sellele selle programmi kaudu meie tähelepanu juhtima. Pöördume nii klientide kui ka turvauuringute kogukonna poole, et hoida neid olukorraga kursis." - Inteli pressiesindaja.
Seetõttu pole täpsustatud, kes täpselt lekke allikaks sai (kuna näiteks originaalseadmete tootjatel ja kohandatud püsivara arendavatel ettevõtetel oli juurdepääs püsivara koostamise tööriistadele).
Juhtumi kohta, mainitakse, et avaldatud faili sisu analüüs näitas mõningaid teste ja teenuseid konkreetne Lenovo toodetest ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), kuid Lenovo osalemine lekkes paljastas ka Insyde Software'i utiliidid ja teegid, mis arendab originaalseadmete tootjatele püsivara ja giti logi sisaldab meili aadressilt üks töötajatest LC tulevikukeskus, mis toodab sülearvuteid erinevatele originaalseadmete tootjatele.
Inteli sõnul ei sisalda avatud juurdepääsusse läinud kood tundlikke andmeid või komponendid, mis võivad kaasa aidata uute turvaaukude avalikustamisele. Samal ajal avalikustas Inteli platvormide turvalisuse uurimisele spetsialiseerunud Mark Yermolov avaldatud failis teavet dokumenteerimata MSR-logide kohta (mudelispetsiifilised logid, mida kasutatakse mikrokoodide haldamiseks, jälgimiseks ja silumiseks), mille kohta käiv teave kuulub. mittekonfidentsiaalsusleping.
Lisaks failist leiti privaatvõti, mida kasutatakse püsivara digitaalseks allkirjastamiseksEt seda saab potentsiaalselt kasutada Intel Boot Guardi kaitsest mööda hiilimiseks (Võtme töötamine ei ole kinnitatud, see võib olla testvõti.)
Samuti mainitakse, et avatud juurdepääsuga kood hõlmab programmi Project Circuit Breaker, mis hõlmab 500–100,000 XNUMX dollari suurust preemiat püsivara ja Inteli toodete turbeprobleemide tuvastamise eest (arusaadavalt võivad teadlased aruannete esitamise eest tasu saada). lekke sisu abil avastatud haavatavused).
"See kood on hõlmatud meie vigade hüvitamise programmiga Project Circuit Breaker kampaania raames ja me julgustame kõiki teadlasi, kes suudavad tuvastada võimalikke haavatavusi, meile selle programmi kaudu teada andma," lisas Intel.
Lõpetuseks tasub mainida, et seoses andmelkkega on avaldatud koodi viimane muudatus dateeritud 30. septembril 2022, seega avaldatud infot uuendatakse.