Kod perkakasan BIOS untuk pemproses Intel Alder Lake telah disiarkan pada 4chan
Beberapa hari lalu di internet berita tentang kebocoran kod UFEI Tasik Alder telah dikeluarkan daripada Intel pada 4chan dan satu salinan kemudiannya diterbitkan di GitHub.
Mengenai kes itu Intel, tidak digunakan serta-merta, tetapi kini telah mengesahkan ketulenan daripada kod sumber perisian tegar UEFI dan BIOS yang disiarkan oleh orang yang tidak dikenali di GitHub. Secara keseluruhan, 5,8 GB kod, utiliti, dokumentasi, gumpalan dan konfigurasi yang berkaitan dengan pembentukan perisian tegar telah diterbitkan untuk sistem dengan pemproses berdasarkan seni bina mikro Tasik Alder, dikeluarkan pada November 2021.
Intel menyebut bahawa fail berkaitan telah beredar selama beberapa hari dan oleh itu berita itu disahkan terus daripada Intel, yang menyebut bahawa ia ingin menunjukkan bahawa perkara itu tidak membayangkan risiko baru untuk keselamatan cip dan sistem yang digunakan, jadi ia memerlukan untuk tidak bimbang tentang kes itu.
Menurut Intel, kebocoran itu berlaku kerana pihak ketiga dan bukan akibat kompromi dalam infrastruktur syarikat.
“Kod UEFI proprietari kami nampaknya telah dibocorkan oleh pihak ketiga. Kami tidak percaya ini akan mendedahkan sebarang kelemahan keselamatan baharu, kerana kami tidak bergantung pada pengeliruan maklumat sebagai langkah keselamatan. Kod ini dilindungi oleh program hadiah pepijat kami dalam Project Circuit Breaker, dan kami menggalakkan mana-mana penyelidik yang boleh mengenal pasti potensi kelemahan untuk membawanya kepada perhatian kami melalui program ini. Kami sedang menghubungi pelanggan dan komuniti penyelidikan keselamatan untuk memastikan mereka dimaklumkan tentang situasi ini." — Jurucakap Intel.
Oleh itu, tidak dinyatakan siapa sebenarnya yang menjadi punca kebocoran (kerana contohnya pengeluar peralatan OEM dan syarikat yang membangunkan perisian tegar tersuai mempunyai akses kepada alat untuk menyusun perisian tegar).
Mengenai kes itu, disebutkan bahawa analisis kandungan fail yang diterbitkan mendedahkan beberapa ujian dan perkhidmatan khusus produk Lenovo ("Maklumat Ujian Teg Ciri Lenovo", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), tetapi penglibatan Lenovo dalam kebocoran itu turut mendedahkan utiliti dan perpustakaan daripada Insyde Software, yang membangunkan perisian tegar untuk OEM, dan log git mengandungi e-mel daripada salah seorang pekerja di Pusat Masa Depan LC, yang menghasilkan komputer riba untuk pelbagai OEM.
Menurut Intel, kod yang masuk ke akses terbuka tidak mengandungi data sensitif atau komponen yang mungkin menyumbang kepada pendedahan kelemahan baharu. Pada masa yang sama, Mark Yermolov, yang pakar dalam menyelidik keselamatan platform Intel, mendedahkan dalam maklumat fail yang diterbitkan tentang log MSR yang tidak didokumenkan (log khusus model, digunakan untuk pengurusan kod mikro, penjejakan dan penyahpepijatan), maklumat mengenainya termasuk di bawah. perjanjian tanpa kerahsiaan.
Selain itu, kunci peribadi ditemui dalam fail, yang digunakan untuk menandatangani perisian tegar secara digitalItu berpotensi digunakan untuk memintas perlindungan Intel Boot Guard (Kunci belum disahkan berfungsi, ia mungkin kunci ujian.)
Ia juga disebut bahawa kod yang masuk ke dalam akses terbuka meliputi program Project Circuit Breaker, yang melibatkan pembayaran ganjaran antara $500 hingga $100,000 untuk mengenal pasti masalah keselamatan dalam perisian tegar dan produk Intel (difahamkan bahawa penyelidik boleh menerima ganjaran untuk melaporkan kelemahan yang ditemui dengan menggunakan kandungan kebocoran).
"Kod ini dilindungi oleh program hadiah pepijat kami dalam kempen Pemutus Litar Projek, dan kami menggalakkan mana-mana penyelidik yang boleh mengenal pasti potensi kelemahan untuk melaporkannya kepada kami melalui program ini," tambah Intel.
Akhir sekali, perlu dinyatakan bahawa mengenai kebocoran data, perubahan terbaru dalam kod yang diterbitkan adalah bertarikh 30 September 2022, jadi maklumat yang dikeluarkan dikemas kini.