„Intel Alder Lake“ procesorių BIOS aparatinės įrangos kodas buvo paskelbtas 4chan
Prieš kelias dienas tinkle buvo paskelbta žinia apie Alder Lake UFEI kodo nutekėjimą iš Intel 4chan, o kopija vėliau buvo paskelbta GitHub.
Apie bylą „Intel“, nepateikė prašymo iš karto, bet dabar patvirtino autentiškumą iš UEFI ir BIOS programinės įrangos šaltinio kodų, kuriuos GitHub paskelbė nežinomas asmuo. Iš viso buvo paskelbta 5,8 GB kodo, paslaugų, dokumentacijos, blobų ir konfigūracijų, susijusių su programinės aparatinės įrangos formavimu, skirta sistemoms su procesoriais, paremtais Alder Lake mikroarchitektūra, išleista 2021 m. lapkritį.
„Intel“ mini, kad susiję failai buvo apyvartoje keletą dienų, todėl naujienas patvirtina tiesiogiai „Intel“, kuri nurodo, kad nori pabrėžti, kad tai nekelia naujos rizikos lustų saugumui ir sistemos, kuriose naudojamos, todėl reikia nesijaudinti dėl atvejo.
„Intel“ teigimu, nutekėjimas įvyko dėl trečiosios šalies o ne dėl įmonės infrastruktūros kompromiso.
„Panašu, kad mūsų patentuotą UEFI kodą nutekino trečioji šalis. Nemanome, kad tai atskleis naujų saugumo spragų, nes nepasitikime informacijos užmaskavimu kaip saugumo priemone. Šiam kodui taikoma mūsų „Project Circuit Breaker“ klaidų programa, todėl raginame visus tyrinėtojus, galinčius nustatyti galimus pažeidžiamumus, atkreipti mūsų dėmesį į tai per šią programą. Kreipiamės į klientus ir saugumo tyrimų bendruomenę, kad informuotume juos apie šią situaciją. – „Intel“ atstovas spaudai.
Todėl nenurodoma, kas tiksliai tapo nutekėjimo šaltiniu (kadangi, pavyzdžiui, OĮG įrangos gamintojai ir įmonės, kuriančios individualią programinę-aparatinę įrangą, turėjo prieigą prie programinės įrangos kompiliavimo įrankių).
Apie bylą, minima, kad paskelbto failo turinio analizė atskleidė kai kuriuos testus ir paslaugas konkretus Lenovo produktų („Lenovo Feature Tag Test Information“, „Lenovo String Service“, „Lenovo Secure Suite“, „Lenovo Cloud Service“), tačiau „Lenovo“ dalyvavimas nutekėjime taip pat atskleidė „Insyde Software“, kuri kuria programinę-aparatinę įrangą OĮG, paslaugų ir bibliotekų. git žurnale yra el. laiškas iš vienas iš darbuotojų LC ateities centras, kuri gamina nešiojamuosius kompiuterius įvairiems originalios įrangos gamintojams.
„Intel“ teigimu, atvirosios prieigos kode nėra jautrių duomenų arba komponentai, galintys padėti atskleisti naujus pažeidžiamumus. Tuo pat metu Markas Jermolovas, kuris specializuojasi „Intel“ platformų saugumo tyrimuose, paskelbtame faile atskleidė informaciją apie nedokumentuotus MSR žurnalus (konkrečiam modeliui skirtus žurnalus, naudojamus mikrokodų valdymui, sekimui ir derinimui), informacija apie kuriuos patenka. nekonfidencialumo susitarimas.
Be to, faile buvo rastas privatus raktas, kuris naudojamas skaitmeniniam programinės įrangos pasirašymuiKad gali būti naudojamas apeiti Intel Boot Guard apsaugą (Nepatvirtinta, kad raktas veikia, tai gali būti bandomasis raktas.)
Taip pat paminėta, kad atvirosios prieigos kodas apima programą „Project Circuit Breaker“, kuri apima nuo 500 USD iki 100,000 XNUMX USD atlygį už programinės aparatinės įrangos ir „Intel“ produktų saugumo problemų nustatymą (suprantama, kad mokslininkai gali gauti atlygį, kad praneštų pažeidžiamumų, aptiktų naudojant nutekėjimo turinį).
„Šiam kodui taikoma mūsų „Project Circuit Breaker“ kampanijos klaidų programa, todėl raginame bet kurį tyrėją, galintį nustatyti galimus pažeidžiamumus, pranešti apie juos per šią programą“, – pridūrė „Intel“.
Galiausiai verta paminėti, kad dėl duomenų nutekėjimo naujausias paskelbto kodo pakeitimas yra 30 m. rugsėjo 2022 d., todėl paskelbta informacija atnaujinama.