BIOS aparatūras kods Intel Alder Lake procesoriem tika ievietots vietnē 4chan
Pirms dažām dienām tīklā bija izlaistas ziņas par Alder Lake UFEI koda noplūdi no Intel vietnē 4chan, un kopija vēlāk tika publicēta vietnē GitHub.
Par lietu Intel nepieteicās uzreiz, bet tagad ir apstiprinājis autentiskumu no UEFI un BIOS programmaparatūras pirmkodiem, ko GitHub ievietojusi nezināma persona. Kopumā sistēmām ar procesoriem, kuru pamatā ir Alder Lake mikroarhitektūra, ir publicēti 5,8 GB koda, utilītprogrammas, dokumentācija, blobs un konfigurācijas, kas saistītas ar programmaparatūras veidošanu, kas tika izlaista 2021. gada novembrī.
Intel min, ka saistītie faili ir bijuši apritē jau dažas dienas, un tādēļ ziņas tiek apstiprinātas tieši no Intel, kas norāda, ka vēlas norādīt, ka lieta nerada jaunus riskus mikroshēmu un sistēmas, kurās tiek izmantotas, tāpēc par šo gadījumu nav jāuztraucas.
Pēc Intel domām, noplūde notikusi trešās puses dēļ nevis uzņēmuma infrastruktūras kompromisa rezultātā.
“Šķiet, ka mūsu patentēto UEFI kodu ir nopludinājusi trešā puse. Mēs neuzskatām, ka tas atklās jaunas drošības ievainojamības, jo mēs nepaļaujamies uz informācijas apmulsināšanu kā drošības līdzekli. Uz šo kodu attiecas mūsu kļūdu novēršanas programma Project Circuit Breaker, un mēs aicinām ikvienu pētnieku, kurš var identificēt iespējamās ievainojamības, pievērst tam mūsu uzmanību, izmantojot šo programmu. Mēs sazināmies gan ar klientiem, gan ar drošības pētniecības kopienu, lai viņus informētu par šo situāciju. — Intel pārstāvis.
Tādējādi nav norādīts, kurš tieši kļuva par noplūdes avotu (jo, piemēram, OEM iekārtu ražotājiem un uzņēmumiem, kas izstrādā pielāgotu programmaparatūru, bija piekļuve programmaparatūras kompilēšanas rīkiem).
Par lietu, minēts, ka publicētā faila satura analīze atklāja dažus testus un pakalpojumus konkrēts no Lenovo produktiem ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), bet Lenovo iesaistīšanās noplūdē atklāja arī Insyde Software, kas izstrādā programmaparatūru oriģinālo iekārtu ražotājiem, utilītas un bibliotēkas. git žurnālā ir e-pasts no viens no darbiniekiem LC nākotnes centrs, kas ražo klēpjdatorus dažādiem oriģinālo iekārtu ražotājiem.
Saskaņā ar Intel teikto, kods, kas tika atvērts atvērtai piekļuvei, nesatur sensitīvus datus vai komponenti, kas var veicināt jaunu ievainojamību izpaušanu. Tajā pašā laikā Marks Jermolovs, kurš specializējas Intel platformu drošības izpētē, publicētajā failā atklāja informāciju par nedokumentētiem MSR žurnāliem (modeļiem raksturīgiem žurnāliem, kurus izmanto mikrokodu pārvaldībai, izsekošanai un atkļūdošanai), informācija par kuriem ietilpst. nekonfidencialitātes līgums.
Turklāt, failā tika atrasta privātā atslēga, kas tiek izmantota programmaparatūras digitālai parakstīšanai, tas potenciāli var izmantot, lai apietu Intel Boot Guard aizsardzību (Nav apstiprināts, ka atslēga darbojas, tā var būt testa atslēga.)
Tiek arī minēts, ka kods, kas tika nodots atklātajai piekļuvei, aptver programmu Project Circuit Breaker, kas ietver atlīdzības izmaksu no 500 līdz 100,000 XNUMX USD par programmaparatūras un Intel produktu drošības problēmu identificēšanu (tiek saprasts, ka pētnieki var saņemt atlīdzību, lai ziņotu ievainojamības, kas atklātas, izmantojot noplūdes saturu).
"Uz šo kodu attiecas mūsu kļūdu novēršanas programma Project Circuit Breaker kampaņā, un mēs mudinām ikvienu pētnieku, kurš var identificēt iespējamās ievainojamības, ziņot par tām, izmantojot šo programmu," piebilda Intel.
Visbeidzot, ir vērts pieminēt, ka saistībā ar datu noplūdi jaunākās izmaiņas publicētajā kodā ir datētas ar 30. gada 2022. septembri, tāpēc publicētā informācija tiek atjaunināta.