BIOS-hårdvarukod för Intel Alder Lake-processorer publicerades på 4chan
För några dagar sedan på nätet nyheten om Alder Lake UFEI-kodläckan hade släppts från Intel på 4chan och en kopia publicerades senare på GitHub.
Om fallet Intel, ansökte inte omedelbart, men har nu bekräftat äktheten från UEFI- och BIOS-firmware-källkoder som lagts upp av en okänd person på GitHub. Totalt har 5,8 GB kod, verktyg, dokumentation, blobbar och konfigurationer relaterade till bildandet av firmware publicerats för system med processorer baserade på Alder Lakes mikroarkitektur, som släpptes i november 2021.
Intel nämner att de relaterade filerna har varit i omlopp i några dagar och som sådan bekräftas nyheten direkt från Intel, som nämner att man vill påpeka att ärendet inte innebär nya risker för säkerheten för chipsen och system som används i, så det kräver att man inte blir oroad över fallet.
Enligt Intel uppstod läckan på grund av en tredje part och inte som ett resultat av en kompromiss i företagets infrastruktur.
"Vår egenutvecklade UEFI-kod verkar ha läckt ut av en tredje part. Vi tror inte att detta kommer att avslöja några nya säkerhetsbrister, eftersom vi inte förlitar oss på informationsförvirring som en säkerhetsåtgärd. Den här koden täcks av vårt bug bounty-program inom Project Circuit Breaker, och vi uppmuntrar alla forskare som kan identifiera potentiella sårbarheter att uppmärksamma oss på det genom detta program. Vi når ut till både kunder och säkerhetsforskningsgemenskapen för att hålla dem informerade om den här situationen." – Intel talesman.
Som sådan är det inte specificerat vem som var källan till läckan (eftersom till exempel OEM-utrustningstillverkare och företag som utvecklar anpassad firmware hade tillgång till verktygen för att kompilera firmware).
Om fallet, nämns det att analysen av innehållet i den publicerade filen avslöjade några tester och tjänster specifik av Lenovos produkter ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), men Lenovos inblandning i läckan avslöjade också verktyg och bibliotek från Insyde Software, som utvecklar firmware för OEM, och git-loggen innehåller ett e-postmeddelande från en av de anställda på LC Framtidscenter, som tillverkar bärbara datorer för olika OEM-tillverkare.
Enligt Intel innehåller koden som gick in i open access inte känslig data eller komponenter som kan bidra till avslöjandet av nya sårbarheter. Samtidigt avslöjade Mark Yermolov, som är specialiserad på att undersöka säkerheten för Intel-plattformar, i den publicerade filen information om odokumenterade MSR-loggar (modellspecifika loggar, som används för mikrokodhantering, spårning och felsökning), information om vilka som faller under ett avtal om icke-sekretess.
Dessutom, en privat nyckel hittades i filen, som används för att digitalt signera den fasta programvaranAtt kan potentiellt användas för att kringgå Intel Boot Guard-skydd (Nyckeln har inte bekräftats att fungera, det kan vara en testnyckel.)
Det nämns också att koden som gick in i open access täcker Project Circuit Breaker-programmet, som innebär betalning av belöningar från $500 till $100,000 XNUMX för att identifiera säkerhetsproblem i firmware och Intel-produkter (det är underförstått att forskare kan få belöningar att rapportera sårbarheter som upptäckts genom att använda innehållet i läckan).
"Den här koden täcks av vårt program för bug-bounty inom Project Circuit Breaker-kampanjen, och vi uppmuntrar alla forskare som kan identifiera potentiella sårbarheter att rapportera dem till oss genom detta program", tillade Intel.
Slutligen är det värt att nämna att angående dataläckan är den senaste ändringen i den publicerade koden daterad 30 september 2022, så den information som släpps uppdateras.