Intel Alder Lake પ્રોસેસરો માટે BIOS હાર્ડવેર કોડ 4chan પર પોસ્ટ કરવામાં આવ્યો હતો
નેટ પર થોડા દિવસો પહેલા એલ્ડર લેક UFEI કોડ લીક વિશેના સમાચાર પ્રકાશિત કરવામાં આવ્યા હતા ઇન્ટેલ તરફથી 4chan પર અને એક નકલ બાદમાં GitHub પર પ્રકાશિત કરવામાં આવી હતી.
કેસ વિશે ઇન્ટેલે તરત જ અરજી કરી ન હતી, પરંતુ હવે તેની અધિકૃતતાની પુષ્ટિ કરી છે GitHub પર અજાણ્યા વ્યક્તિ દ્વારા પોસ્ટ કરાયેલ UEFI અને BIOS ફર્મવેર સોર્સ કોડ્સમાંથી. નવેમ્બર 5,8માં રિલીઝ થયેલા એલ્ડર લેક માઈક્રોઆર્કિટેક્ચર પર આધારિત પ્રોસેસર્સ ધરાવતી સિસ્ટમ માટે ફર્મવેરની રચનાને લગતા કુલ 2021 GB કોડ, ઉપયોગિતાઓ, દસ્તાવેજીકરણ, બ્લોબ્સ અને રૂપરેખાંકનો પ્રકાશિત કરવામાં આવ્યા છે.
ઇન્ટેલે ઉલ્લેખ કર્યો છે કે સંબંધિત ફાઇલો થોડા દિવસોથી ચલણમાં છે અને જેમ કે ઇન્ટેલ તરફથી સીધા જ સમાચારની પુષ્ટિ કરવામાં આવી રહી છે, જેમાં ઉલ્લેખ કરવામાં આવ્યો છે કે તે નિર્દેશ કરવા માંગે છે કે આ બાબત ચિપ્સની સુરક્ષા માટે નવા જોખમોને સૂચિત કરતી નથી. સિસ્ટમો જેમાં ઉપયોગમાં લેવાય છે, તેથી તે કેસ વિશે સાવચેત ન થવા માટે કહે છે.
ઇન્ટેલના જણાવ્યા અનુસાર, લીક થર્ડ પાર્ટીના કારણે થયું છે અને કંપનીના ઇન્ફ્રાસ્ટ્રક્ચરમાં સમાધાનના પરિણામે નહીં.
“અમારો માલિકીનો UEFI કોડ તૃતીય પક્ષ દ્વારા લીક કરવામાં આવ્યો હોય તેવું લાગે છે. અમે માનતા નથી કે આ કોઈપણ નવી સુરક્ષા નબળાઈઓને ઉજાગર કરશે, કારણ કે અમે સુરક્ષા માપદંડ તરીકે માહિતીની અસ્પષ્ટતા પર આધાર રાખતા નથી. આ કોડ પ્રોજેક્ટ સર્કિટ બ્રેકરની અંદર અમારા બગ બાઉન્ટી પ્રોગ્રામ દ્વારા આવરી લેવામાં આવ્યો છે, અને અમે કોઈપણ સંશોધકને પ્રોત્સાહિત કરીએ છીએ કે જે સંભવિત નબળાઈઓને ઓળખી શકે તે આ પ્રોગ્રામ દ્વારા અમારા ધ્યાન પર લાવવા માટે. અમે ગ્રાહકો અને સુરક્ષા સંશોધન સમુદાય બંને સુધી તેમને આ પરિસ્થિતિ વિશે માહિતગાર રાખવા માટે પહોંચી રહ્યા છીએ." - ઇન્ટેલના પ્રવક્તા.
જેમ કે તે સ્પષ્ટ થયેલ નથી કે લીકનો સ્ત્રોત કોણ બન્યો હતો (ઉદાહરણ તરીકે OEM સાધનોના ઉત્પાદકો અને કસ્ટમ ફર્મવેર વિકસાવતી કંપનીઓને ફર્મવેરને કમ્પાઈલ કરવા માટે સાધનોની ઍક્સેસ હતી).
કેસ વિશે, તે ઉલ્લેખિત છે કે પ્રકાશિત ફાઇલની સામગ્રીના વિશ્લેષણમાં કેટલાક પરીક્ષણો અને સેવાઓ જાહેર કરવામાં આવી છે ચોક્કસ Lenovo ઉત્પાદનો ("લેનોવો ફીચર ટેગ ટેસ્ટ ઇન્ફોર્મેશન", "લેનોવો સ્ટ્રિંગ સર્વિસ", "લેનોવો સિક્યોર સ્યુટ", "લેનોવો ક્લાઉડ સર્વિસ"), પરંતુ લીકમાં લેનોવોની સંડોવણીએ Insyde સોફ્ટવેરની ઉપયોગિતાઓ અને લાઇબ્રેરીઓ પણ જાહેર કરી, જે OEM માટે ફર્મવેર વિકસાવે છે, અને git લોગમાં એક ઈમેલ છે ના કર્મચારીઓમાંથી એક એલસી ફ્યુચર સેન્ટર, જે વિવિધ OEM માટે લેપટોપનું ઉત્પાદન કરે છે.
ઇન્ટેલ મુજબ, ઓપન એક્સેસમાં ગયેલા કોડમાં સંવેદનશીલ ડેટા નથી અથવા ઘટકો કે જે નવી નબળાઈઓને જાહેર કરવામાં યોગદાન આપી શકે છે. તે જ સમયે, માર્ક યર્મોલોવ, જેઓ ઇન્ટેલ પ્લેટફોર્મની સુરક્ષા પર સંશોધન કરવામાં નિષ્ણાત છે, તેમણે બિનદસ્તાવેજીકૃત MSR લોગ્સ (માઈક્રોકોડ મેનેજમેન્ટ, ટ્રેકિંગ અને ડીબગીંગ માટે ઉપયોગમાં લેવાતા મોડલ-વિશિષ્ટ લોગ) વિશેની માહિતી પ્રકાશિત કરેલી ફાઇલમાં જાહેર કરી છે. બિન-ગોપનીયતા કરાર.
ઉપરાંત, ફાઇલમાં એક ખાનગી કી મળી હતી, જેનો ઉપયોગ ફર્મવેરને ડિજિટલી સહી કરવા માટે થાય છે, ક્યુ ઇન્ટેલ બૂટ ગાર્ડ સુરક્ષાને બાયપાસ કરવા માટે સંભવિત રીતે ઉપયોગ કરી શકાય છે (કી કામ કરવાની પુષ્ટિ કરવામાં આવી નથી, તે એક પરીક્ષણ કી હોઈ શકે છે.)
તે પણ ઉલ્લેખિત છે કે જે કોડ ઓપન એક્સેસમાં જાય છે તે પ્રોજેક્ટ સર્કિટ બ્રેકર પ્રોગ્રામને આવરી લે છે, જેમાં ફર્મવેર અને ઇન્ટેલ પ્રોડક્ટ્સમાં સુરક્ષા સમસ્યાઓ ઓળખવા માટે $500 થી $100,000 સુધીના પુરસ્કારોની ચુકવણીનો સમાવેશ થાય છે (એવું સમજાય છે કે સંશોધકો જાણ કરવા માટે પુરસ્કારો મેળવી શકે છે. લીકની સામગ્રીનો ઉપયોગ કરીને શોધાયેલ નબળાઈઓ).
"આ કોડ પ્રોજેક્ટ સર્કિટ બ્રેકર ઝુંબેશમાં અમારા બગ બાઉન્ટી પ્રોગ્રામ દ્વારા આવરી લેવામાં આવ્યો છે, અને અમે કોઈપણ સંશોધકને પ્રોત્સાહિત કરીએ છીએ કે જે સંભવિત નબળાઈઓને ઓળખી શકે છે તે આ પ્રોગ્રામ દ્વારા અમને જાણ કરે," ઇન્ટેલે ઉમેર્યું.
છેલ્લે, એ ઉલ્લેખનીય છે કે ડેટા લીકના સંદર્ભમાં, પ્રકાશિત કોડમાં સૌથી તાજેતરનો ફેરફાર 30 સપ્ટેમ્બર, 2022નો છે, તેથી જારી કરવામાં આવેલી માહિતી અપડેટ કરવામાં આવી છે.