Intel подтверждает утечку кода UEFI Alder Lake

intel-ольха-озеро

Аппаратный код BIOS для процессоров Intel Alder Lake был опубликован на 4chan

Несколько дней назад в сети появилась новость об утечке кода UFEI в Alder Lake от Intel на 4chan, а копия позже была опубликована на GitHub.

О деле Интел не подал заявку мгновенно, но теперь подтвердил подлинность из исходных кодов прошивок UEFI и BIOS, размещенных неизвестным лицом на GitHub. Всего для систем с процессорами на базе микроархитектуры Alder Lake, выпущенных в ноябре 5,8 года, опубликовано 2021 ГБ кода, утилит, документации, блобов и конфигураций, связанных с формированием прошивок.

Intel упоминает, что соответствующие файлы находятся в обращении в течение нескольких дней, и поэтому новости подтверждаются непосредственно Intel, которая упоминает, что хочет указать, что этот вопрос не создает новых рисков для безопасности чипов и системы, в которых используются, поэтому он призывает не беспокоиться о случае.

По данным Intel, утечка произошла по вине третьей стороны. а не в результате компрометации инфраструктуры компании.

«Наш проприетарный код UEFI, похоже, стал известен третьей стороне. Мы не считаем, что это обнаружит какие-либо новые уязвимости безопасности, поскольку мы не полагаемся на запутывание информации как на меру безопасности. Этот код покрывается нашей программой вознаграждения за обнаружение ошибок в рамках Project Circuit Breaker, и мы призываем любого исследователя, который может определить потенциальные уязвимости, довести его до нашего сведения через эту программу. Мы обращаемся как к клиентам, так и к сообществу исследователей безопасности, чтобы информировать их об этой ситуации». — представитель Intel.

При этом не уточняется, кто именно стал источником утечки (поскольку, например, производители OEM-оборудования и компании, разрабатывающие заказные прошивки, имели доступ к инструментам для компиляции прошивки).

О деле, упоминается, что анализ содержимого опубликованного файла выявил некоторые тесты и сервисы специфические продуктов Леново ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), но причастность Lenovo к утечке также выявила утилиты и библиотеки от Insyde Software, которая разрабатывает прошивки для OEM-производителей, и журнал git содержит электронное письмо от один из сотрудников компании ЖК Будущее Центр, которая производит ноутбуки для различных OEM-производителей.

По данным Intel, вышедший в открытый доступ код не содержит конфиденциальных данных или компоненты, которые могут способствовать раскрытию новых уязвимостей. В то же время Марк Ермолов, специализирующийся на исследованиях безопасности платформ Intel, раскрыл в опубликованном файле информацию о недокументированных журналах MSR (журналах, специфичных для модели, используемых для управления микрокодом, отслеживания и отладки), сведения о которых подпадают под действие соглашение о неконфиденциальности.

Кроме того, в файле обнаружен закрытый ключ, который используется для цифровой подписи прошивкичто потенциально может использоваться для обхода защиты Intel Boot Guard (Работа ключа не подтверждена, возможно, это тестовый ключ.)

Также упоминается, что вышедший в открытый доступ код охватывает программу Project Circuit Breaker, предполагающую выплату вознаграждения в размере от 500 до 100,000 XNUMX долларов за выявление проблем с безопасностью в прошивках и продуктах Intel (подразумевается, что исследователи могут получать вознаграждение за сообщение уязвимости, обнаруженные с использованием содержимого утечки).

«Этот код покрывается нашей программой вознаграждения за обнаружение ошибок в рамках кампании Project Circuit Breaker, и мы призываем любого исследователя, который может выявить потенциальные уязвимости, сообщать нам о них через эту программу», — добавила Intel.

Наконец, стоит отметить, что в отношении утечки данных самое последнее изменение в опубликованном коде датировано 30 сентября 2022 года, поэтому опубликованная информация обновлена.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.