इंटेल अल्डर लेक प्रोसेसरसाठी BIOS हार्डवेअर कोड 4chan वर पोस्ट केला गेला
काही दिवसांपूर्वी नेटवर अल्डर लेक यूएफईआय कोड लीक बद्दल बातम्या प्रसिद्ध झाल्या होत्या इंटेल कडून 4chan वर आणि एक प्रत नंतर GitHub वर प्रकाशित झाली.
प्रकरणाबद्दल इंटेलने त्वरित अर्ज केला नाही, परंतु आता सत्यतेची पुष्टी केली आहे GitHub वर अज्ञात व्यक्तीने पोस्ट केलेल्या UEFI आणि BIOS फर्मवेअर स्त्रोत कोडवरून. नोव्हेंबर 5,8 मध्ये रिलीज झालेल्या अल्डर लेक मायक्रोआर्किटेक्चरवर आधारित प्रोसेसर असलेल्या सिस्टमसाठी फर्मवेअरच्या निर्मितीशी संबंधित 2021 GB कोड, उपयुक्तता, दस्तऐवजीकरण, ब्लॉब आणि कॉन्फिगरेशन प्रकाशित केले गेले आहेत.
इंटेलने नमूद केले आहे की संबंधित फायली काही दिवसांपासून प्रचलित आहेत आणि अशा बातम्यांची थेट इंटेलकडून पुष्टी केली जात आहे, ज्यात असे नमूद केले आहे की हे प्रकरण चिप्सच्या सुरक्षेसाठी नवीन धोके सूचित करत नाही. सिस्टीम ज्यामध्ये वापरल्या जातात, त्यामुळे केसबद्दल काळजी न करण्याचे आवाहन केले जाते.
इंटेलच्या म्हणण्यानुसार, ही गळती थर्ड पार्टीमुळे झाली आणि कंपनीच्या पायाभूत सुविधांमध्ये तडजोड झाल्यामुळे नाही.
“आमचा मालकीचा UEFI कोड तृतीय पक्षाद्वारे लीक झाल्याचे दिसते. आम्हाला विश्वास नाही की यामुळे कोणतीही नवीन सुरक्षा भेद्यता उघड होईल, कारण आम्ही सुरक्षितता उपाय म्हणून माहितीच्या अस्पष्टतेवर अवलंबून नाही. हा कोड आमच्या बग बाउंटी प्रोग्रामद्वारे प्रोजेक्ट सर्किट ब्रेकरमध्ये समाविष्ट आहे आणि आम्ही कोणत्याही संशोधकाला प्रोत्साहन देतो जो संभाव्य असुरक्षा ओळखू शकतो आणि या प्रोग्रामद्वारे आमच्या लक्षात आणून देतो. आम्ही ग्राहक आणि सुरक्षा संशोधन समुदाय या दोघांनाही या परिस्थितीबद्दल माहिती देण्यासाठी पोहोचत आहोत." - इंटेल प्रवक्ता.
त्यामुळे गळतीचा स्रोत नेमका कोण बनला हे निर्दिष्ट केलेले नाही (उदाहरणार्थ OEM उपकरणे उत्पादक आणि कस्टम फर्मवेअर विकसित करणाऱ्या कंपन्यांना फर्मवेअर संकलित करण्यासाठी साधनांमध्ये प्रवेश होता).
प्रकरणाबद्दल, प्रकाशित केलेल्या फाईलच्या सामग्रीच्या विश्लेषणातून काही चाचण्या आणि सेवा उघड झाल्याचा उल्लेख आहे विशिष्ट लेनोवो उत्पादनांचे ("Lenovo फीचर टॅग टेस्ट इन्फॉर्मेशन", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), पण लीकमध्ये Lenovo च्या सहभागामुळे Insyde Software मधील उपयुक्तता आणि लायब्ररी देखील उघड झाल्या, जे OEM साठी फर्मवेअर विकसित करतात आणि git लॉग मध्ये एक ईमेल आहे च्या कर्मचार्यांपैकी एक एलसी फ्युचर सेंटर, जे विविध OEM साठी लॅपटॉप तयार करते.
इंटेलच्या मते, ओपन ऍक्सेसमध्ये गेलेल्या कोडमध्ये संवेदनशील डेटा नाही किंवा घटक जे नवीन असुरक्षा प्रकट करण्यासाठी योगदान देऊ शकतात. त्याच वेळी, इंटेल प्लॅटफॉर्मच्या सुरक्षेवर संशोधन करण्यात माहिर असलेल्या मार्क येर्मोलोव्हने प्रकाशित केलेल्या फाइलमध्ये कागदपत्र नसलेल्या MSR लॉग (मॉडेल-विशिष्ट लॉग, मायक्रोकोड व्यवस्थापन, ट्रॅकिंग आणि डीबगिंगसाठी वापरलेले) बद्दल माहिती उघड केली आहे, ज्याच्या अंतर्गत येते. एक गैर-गोपनीयता करार.
तसेच, फाइलमध्ये एक खाजगी की आढळली, जी फर्मवेअरवर डिजिटल स्वाक्षरी करण्यासाठी वापरली जाते, que इंटेल बूट गार्ड संरक्षणास बायपास करण्यासाठी संभाव्यतः वापरले जाऊ शकते (की कार्य करत असल्याची पुष्टी झालेली नाही, ती चाचणी की असू शकते.)
हे देखील नमूद केले आहे की ओपन ऍक्सेसमध्ये गेलेल्या कोडमध्ये प्रोजेक्ट सर्किट ब्रेकर प्रोग्रामचा समावेश आहे, ज्यामध्ये फर्मवेअर आणि इंटेल उत्पादनांमध्ये सुरक्षा समस्या ओळखण्यासाठी $500 ते $100,000 पर्यंतचे बक्षीस दिले जाते (असे समजले जाते की संशोधकांना अहवाल देण्यासाठी बक्षिसे मिळू शकतात. गळतीच्या सामग्रीचा वापर करून शोधलेल्या असुरक्षा).
"हा कोड आमच्या बग बाउंटी प्रोग्रामद्वारे प्रोजेक्ट सर्किट ब्रेकर मोहिमेमध्ये समाविष्ट आहे, आणि आम्ही कोणत्याही संशोधकाला प्रोत्साहित करतो जो संभाव्य असुरक्षा ओळखू शकतो त्यांना या प्रोग्रामद्वारे आम्हाला अहवाल देण्यासाठी," इंटेल जोडले.
शेवटी, हे नमूद करण्यासारखे आहे की डेटा लीकच्या संदर्भात, प्रकाशित कोडमधील सर्वात अलीकडील बदल 30 सप्टेंबर 2022 रोजी आहे, त्यामुळे जारी केलेली माहिती अद्यतनित केली गेली आहे.