ಇಂಟೆಲ್ ಆಲ್ಡರ್ ಲೇಕ್ UEFI ಕೋಡ್ ಸೋರಿಕೆಯನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ

ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ನೆಟ್‌ನಲ್ಲಿ ಆಲ್ಡರ್ ಲೇಕ್ UFEI ಕೋಡ್ ಸೋರಿಕೆಯ ಸುದ್ದಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ ಇಂಟೆಲ್‌ನಿಂದ 4chan ಮತ್ತು ಪ್ರತಿಯನ್ನು ನಂತರ GitHub ನಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಯಿತು.

ಪ್ರಕರಣದ ಬಗ್ಗೆ ಇಂಟೆಲ್, ತಕ್ಷಣವೇ ಅನ್ವಯಿಸಲಿಲ್ಲ, ಆದರೆ ಈಗ ದೃಢೀಕರಣವನ್ನು ದೃಢಪಡಿಸಿದೆ GitHub ನಲ್ಲಿ ಅಪರಿಚಿತ ವ್ಯಕ್ತಿಯಿಂದ ಪೋಸ್ಟ್ ಮಾಡಲಾದ UEFI ಮತ್ತು BIOS ಫರ್ಮ್‌ವೇರ್ ಮೂಲ ಕೋಡ್‌ಗಳಿಂದ. ಒಟ್ಟಾರೆಯಾಗಿ, ನವೆಂಬರ್ 5,8 ರಲ್ಲಿ ಬಿಡುಗಡೆಯಾದ ಆಲ್ಡರ್ ಲೇಕ್ ಮೈಕ್ರೋಆರ್ಕಿಟೆಕ್ಚರ್ ಆಧಾರಿತ ಪ್ರೊಸೆಸರ್‌ಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್‌ಗಳಿಗಾಗಿ 2021 GB ಕೋಡ್, ಉಪಯುಕ್ತತೆಗಳು, ದಾಖಲಾತಿಗಳು, ಬ್ಲಾಬ್‌ಗಳು ಮತ್ತು ಫರ್ಮ್‌ವೇರ್ ರಚನೆಗೆ ಸಂಬಂಧಿಸಿದ ಸಂರಚನೆಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ.

ಸಂಬಂಧಿತ ಫೈಲ್‌ಗಳು ಕೆಲವು ದಿನಗಳಿಂದ ಚಲಾವಣೆಯಲ್ಲಿವೆ ಮತ್ತು ಇಂಟೆಲ್‌ನಿಂದ ನೇರವಾಗಿ ಸುದ್ದಿಯನ್ನು ದೃಢೀಕರಿಸಲಾಗುತ್ತಿದೆ ಎಂದು ಇಂಟೆಲ್ ಉಲ್ಲೇಖಿಸುತ್ತದೆ, ಈ ವಿಷಯವು ಚಿಪ್‌ಗಳ ಸುರಕ್ಷತೆಗೆ ಹೊಸ ಅಪಾಯಗಳನ್ನು ಸೂಚಿಸುವುದಿಲ್ಲ ಎಂದು ಸೂಚಿಸಲು ಬಯಸುತ್ತದೆ ಮತ್ತು ಬಳಸಲಾಗುವ ವ್ಯವಸ್ಥೆಗಳು, ಆದ್ದರಿಂದ ಪ್ರಕರಣದ ಬಗ್ಗೆ ಗಾಬರಿಯಾಗದಂತೆ ಇದು ಕರೆ ನೀಡುತ್ತದೆ.

ಇಂಟೆಲ್ ಪ್ರಕಾರ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಕಾರಣದಿಂದಾಗಿ ಸೋರಿಕೆ ಸಂಭವಿಸಿದೆ ಮತ್ತು ಕಂಪನಿಯ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿನ ರಾಜಿ ಪರಿಣಾಮವಾಗಿ ಅಲ್ಲ.

“ನಮ್ಮ ಸ್ವಾಮ್ಯದ UEFI ಕೋಡ್ ಮೂರನೇ ವ್ಯಕ್ತಿಯಿಂದ ಸೋರಿಕೆಯಾಗಿರುವಂತೆ ತೋರುತ್ತಿದೆ. ಇದು ಯಾವುದೇ ಹೊಸ ಭದ್ರತಾ ದೋಷಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ ಎಂದು ನಾವು ನಂಬುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ನಾವು ಭದ್ರತಾ ಕ್ರಮವಾಗಿ ಮಾಹಿತಿ ಅಸ್ಪಷ್ಟತೆಯ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿಲ್ಲ. ಈ ಕೋಡ್ ಪ್ರಾಜೆಕ್ಟ್ ಸರ್ಕ್ಯೂಟ್ ಬ್ರೇಕರ್‌ನಲ್ಲಿ ನಮ್ಮ ಬಗ್ ಬೌಂಟಿ ಪ್ರೋಗ್ರಾಂನಿಂದ ಆವರಿಸಲ್ಪಟ್ಟಿದೆ ಮತ್ತು ಈ ಪ್ರೋಗ್ರಾಂ ಮೂಲಕ ನಮ್ಮ ಗಮನಕ್ಕೆ ತರಲು ಸಂಭಾವ್ಯ ದೋಷಗಳನ್ನು ಗುರುತಿಸುವ ಯಾವುದೇ ಸಂಶೋಧಕರನ್ನು ನಾವು ಪ್ರೋತ್ಸಾಹಿಸುತ್ತೇವೆ. ಈ ಪರಿಸ್ಥಿತಿಯ ಬಗ್ಗೆ ಅವರಿಗೆ ತಿಳಿಸಲು ನಾವು ಗ್ರಾಹಕರು ಮತ್ತು ಭದ್ರತಾ ಸಂಶೋಧನಾ ಸಮುದಾಯವನ್ನು ತಲುಪುತ್ತಿದ್ದೇವೆ." - ಇಂಟೆಲ್ ವಕ್ತಾರ.

ಸೋರಿಕೆಯ ಮೂಲ ಯಾರು ಎಂದು ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿಲ್ಲ (ಉದಾಹರಣೆಗೆ OEM ಉಪಕರಣ ತಯಾರಕರು ಮತ್ತು ಕಸ್ಟಮ್ ಫರ್ಮ್‌ವೇರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ ಕಂಪನಿಗಳು ಫರ್ಮ್‌ವೇರ್ ಅನ್ನು ಕಂಪೈಲ್ ಮಾಡುವ ಸಾಧನಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದವು).

ಪ್ರಕರಣದ ಬಗ್ಗೆ, ಪ್ರಕಟಿಸಿದ ಫೈಲ್‌ನ ವಿಷಯದ ವಿಶ್ಲೇಷಣೆಯು ಕೆಲವು ಪರೀಕ್ಷೆಗಳು ಮತ್ತು ಸೇವೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದೆ ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ನಿರ್ದಿಷ್ಟ ಲೆನೊವೊ ಉತ್ಪನ್ನಗಳ ("Lenovo ಫೀಚರ್ ಟ್ಯಾಗ್ ಟೆಸ್ಟ್ ಮಾಹಿತಿ", "Lenovo ಸ್ಟ್ರಿಂಗ್ ಸರ್ವೀಸ್", "Lenovo Secure Suite", "Lenovo ಕ್ಲೌಡ್ ಸರ್ವಿಸ್"), ಆದರೆ ಸೋರಿಕೆಯಲ್ಲಿ Lenovo ನ ಒಳಗೊಳ್ಳುವಿಕೆಯು OEM ಗಳಿಗಾಗಿ ಫರ್ಮ್‌ವೇರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವ Insyde ಸಾಫ್ಟ್‌ವೇರ್‌ನಿಂದ ಉಪಯುಕ್ತತೆಗಳು ಮತ್ತು ಲೈಬ್ರರಿಗಳನ್ನು ಸಹ ಬಹಿರಂಗಪಡಿಸಿತು, ಮತ್ತು git ಲಾಗ್ ಇಮೇಲ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ ನ ಉದ್ಯೋಗಿಗಳಲ್ಲಿ ಒಬ್ಬರು ಎಲ್ಸಿ ಫ್ಯೂಚರ್ ಸೆಂಟರ್, ಇದು ವಿವಿಧ OEM ಗಳಿಗೆ ಲ್ಯಾಪ್‌ಟಾಪ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ.

ಇಂಟೆಲ್ ಪ್ರಕಾರ, ತೆರೆದ ಪ್ರವೇಶಕ್ಕೆ ಹೋದ ಕೋಡ್ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ ಅಥವಾ ಹೊಸ ದೋಷಗಳ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಗೆ ಕೊಡುಗೆ ನೀಡಬಹುದಾದ ಘಟಕಗಳು. ಅದೇ ಸಮಯದಲ್ಲಿ, ಇಂಟೆಲ್ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಸಂಶೋಧಿಸುವಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿರುವ ಮಾರ್ಕ್ ಯೆರ್ಮೊಲೋವ್, ದಾಖಲೆರಹಿತ MSR ಲಾಗ್‌ಗಳ (ಮಾದರಿ-ನಿರ್ದಿಷ್ಟ ಲಾಗ್‌ಗಳು, ಮೈಕ್ರೊಕೋಡ್ ನಿರ್ವಹಣೆ, ಟ್ರ್ಯಾಕಿಂಗ್ ಮತ್ತು ಡೀಬಗ್ ಮಾಡುವಿಕೆಗಾಗಿ ಬಳಸಲಾಗುವ) ಬಗ್ಗೆ ಪ್ರಕಟವಾದ ಫೈಲ್ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಿದರು. ಗೌಪ್ಯವಲ್ಲದ ಒಪ್ಪಂದ.

ಸಹ, ಫೈಲ್‌ನಲ್ಲಿ ಖಾಸಗಿ ಕೀಲಿಯು ಕಂಡುಬಂದಿದೆ, ಇದನ್ನು ಫರ್ಮ್‌ವೇರ್‌ಗೆ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ, ಕ್ಯು ಇಂಟೆಲ್ ಬೂಟ್ ಗಾರ್ಡ್ ರಕ್ಷಣೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಸಂಭಾವ್ಯವಾಗಿ ಬಳಸಬಹುದು (ಕೀಲಿಯು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ದೃಢೀಕರಿಸಲಾಗಿಲ್ಲ, ಇದು ಪರೀಕ್ಷಾ ಕೀ ಆಗಿರಬಹುದು.)

ಮುಕ್ತ ಪ್ರವೇಶಕ್ಕೆ ಹೋದ ಕೋಡ್ ಪ್ರಾಜೆಕ್ಟ್ ಸರ್ಕ್ಯೂಟ್ ಬ್ರೇಕರ್ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಒಳಗೊಳ್ಳುತ್ತದೆ ಎಂದು ಸಹ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ, ಇದು ಫರ್ಮ್‌ವೇರ್ ಮತ್ತು ಇಂಟೆಲ್ ಉತ್ಪನ್ನಗಳಲ್ಲಿನ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು $500 ರಿಂದ $100,000 ವರೆಗಿನ ಬಹುಮಾನಗಳ ಪಾವತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ (ಸಂಶೋಧಕರು ವರದಿ ಮಾಡಲು ಪ್ರತಿಫಲವನ್ನು ಪಡೆಯಬಹುದು ಎಂದು ತಿಳಿಯಲಾಗಿದೆ. ಸೋರಿಕೆಯ ವಿಷಯಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪತ್ತೆಯಾದ ದುರ್ಬಲತೆಗಳು).

"ಈ ಕೋಡ್ ಪ್ರಾಜೆಕ್ಟ್ ಸರ್ಕ್ಯೂಟ್ ಬ್ರೇಕರ್ ಅಭಿಯಾನದೊಳಗೆ ನಮ್ಮ ಬಗ್ ಬೌಂಟಿ ಪ್ರೋಗ್ರಾಂನಿಂದ ಆವರಿಸಲ್ಪಟ್ಟಿದೆ ಮತ್ತು ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸುವ ಯಾವುದೇ ಸಂಶೋಧಕರನ್ನು ಈ ಪ್ರೋಗ್ರಾಂ ಮೂಲಕ ನಮಗೆ ವರದಿ ಮಾಡಲು ನಾವು ಪ್ರೋತ್ಸಾಹಿಸುತ್ತೇವೆ" ಎಂದು ಇಂಟೆಲ್ ಸೇರಿಸಲಾಗಿದೆ.

ಅಂತಿಮವಾಗಿ, ಡೇಟಾ ಸೋರಿಕೆಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಪ್ರಕಟಿಸಿದ ಕೋಡ್‌ನಲ್ಲಿನ ಇತ್ತೀಚಿನ ಬದಲಾವಣೆಯು ಸೆಪ್ಟೆಂಬರ್ 30, 2022 ರ ದಿನಾಂಕವಾಗಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಆದ್ದರಿಂದ ಬಿಡುಗಡೆಯಾದ ಮಾಹಿತಿಯನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ.