Intel vahvistaa Alder Laken UEFI-koodivuodon

intel-leppäjärvi

BIOS-laitteistokoodi Intel Alder Lake -prosessoreille julkaistiin 4chanissa

Muutama päivä sitten netissä uutiset Alder Laken UFEI-koodivuodosta oli julkaistu Inteliltä 4chanissa ja kopio julkaistiin myöhemmin GitHubissa.

Tietoja tapauksesta Intel, ei hakenut heti, mutta on nyt vahvistanut aitouden UEFI- ja BIOS-laiteohjelmiston lähdekoodeista, jotka tuntematon henkilö on lähettänyt GitHubiin. Marraskuussa 5,8 julkaistuun Alder Lake -mikroarkkitehtuuriin perustuviin prosessoreihin perustuville järjestelmille on julkaistu yhteensä 2021 Gt koodia, apuohjelmia, dokumentaatiota, blobeja ja laiteohjelmiston muodostukseen liittyviä konfiguraatioita.

Intel mainitsee, että asiaan liittyvät tiedostot ovat olleet liikkeellä muutaman päivän ja näin ollen uutinen vahvistuu suoraan Inteliltä, ​​joka mainitsee haluavansa huomauttaa, että asia ei merkitse uusia riskejä sirujen turvallisuudelle ja järjestelmissä, joissa niitä käytetään, joten tapauksesta ei pidä huolestua.

Intelin mukaan vuoto johtui kolmannesta osapuolesta eikä yrityksen infrastruktuurin kompromissin seurauksena.

"Oma UEFI-koodimme näyttää vuotaneen kolmannen osapuolen toimesta. Emme usko, että tämä paljastaa uusia tietoturva-aukkoja, koska emme luota tietojen hämärtämiseen turvatoimenpiteenä. Tämä koodi kuuluu Project Circuit Breakerin bugipalkkio-ohjelmamme piiriin, ja kehotamme kaikkia tutkijoita, jotka voivat tunnistaa mahdollisia haavoittuvuuksia, kiinnittämään siihen tietoomme tämän ohjelman kautta. Otamme yhteyttä sekä asiakkaisiin että tietoturvatutkimusyhteisöön pitääksemme heidät ajan tasalla tästä tilanteesta." - Intelin tiedottaja.

Sellaisenaan ei ole määritelty, kuka tarkalleen joutui vuodon lähteeseen (koska esimerkiksi OEM-laitteiden valmistajilla ja mukautettuja laiteohjelmistoja kehittävillä yrityksillä oli pääsy työkaluihin laiteohjelmiston kääntämiseen).

Tietoja tapauksesta, mainitaan, että julkaistun tiedoston sisällön analyysi paljasti joitain testejä ja palveluita erityinen Lenovon tuotteista ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), mutta Lenovon osallistuminen vuotoon paljasti myös apuohjelmia ja kirjastoja Insyde Softwarelta, joka kehittää laiteohjelmistoja OEM-valmistajille, ja git-loki sisältää sähköpostin lähettäjältä yksi työntekijöistä L.C. Future Center, joka valmistaa kannettavia tietokoneita eri OEM-valmistajille.

Intelin mukaan avoimeen käyttöön mennyt koodi ei sisällä arkaluonteisia tietoja tai komponentteja, jotka voivat edistää uusien haavoittuvuuksien paljastamista. Samaan aikaan Intel-alustojen turvallisuuden tutkimiseen erikoistunut Mark Yermolov paljasti julkaistussa tiedostossa tietoja dokumentoimattomista MSR-lokeista (mallikohtaiset lokit, joita käytetään mikrokoodien hallintaan, seurantaan ja virheenkorjaukseen), joista tiedot kuuluvat luottamuksellisuussopimus.

Lisäksi, tiedostosta löytyi yksityinen avain, jota käytetään laiteohjelmiston digitaaliseen allekirjoittamiseenEttä voidaan mahdollisesti käyttää ohittamaan Intel Boot Guard -suojaus (Avainta ei ole vahvistettu toimivaksi, se voi olla testiavain.)

Mainitaan myös, että avoimeen pääsyyn siirtynyt koodi kattaa Project Circuit Breaker -ohjelman, joka sisältää 500–100,000 XNUMX dollarin palkkioiden maksamisen laiteohjelmiston ja Intel-tuotteiden tietoturvaongelmien tunnistamisesta (tutkijat voivat saada palkkioita raportoinnista haavoittuvuuksia, jotka on löydetty käyttämällä vuodon sisältöä).

"Tämä koodi kuuluu Project Circuit Breaker -kampanjan bug bounty -ohjelmamme piiriin, ja rohkaisemme kaikkia tutkijoita, jotka voivat tunnistaa mahdolliset haavoittuvuudet ilmoittamaan niistä meille tämän ohjelman kautta", Intel lisäsi.

Lopuksi on syytä mainita, että tietovuodon osalta viimeisin muutos julkaistussa koodissa on päivätty 30, joten julkaistua tietoa päivitetään.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.