இன்டெல் ஆல்டர் லேக் செயலிகளுக்கான BIOS வன்பொருள் குறியீடு 4chan இல் வெளியிடப்பட்டது
சில நாட்களுக்கு முன் நெட்டில் ஆல்டர் ஏரி UFEI குறியீடு கசிவு பற்றிய செய்தி வெளியிடப்பட்டது 4chan இல் Intel இலிருந்து ஒரு பிரதி பின்னர் GitHub இல் வெளியிடப்பட்டது.
வழக்கு பற்றி இன்டெல், உடனடியாக விண்ணப்பிக்கவில்லை, ஆனால் இப்போது நம்பகத்தன்மையை உறுதிப்படுத்தியுள்ளது GitHub இல் தெரியாத நபரால் வெளியிடப்பட்ட UEFI மற்றும் BIOS ஃபார்ம்வேர் மூலக் குறியீடுகளிலிருந்து. நவம்பர் 5,8 இல் வெளியிடப்பட்ட ஆல்டர் லேக் மைக்ரோஆர்கிடெக்சரை அடிப்படையாகக் கொண்ட செயலிகளைக் கொண்ட அமைப்புகளுக்காக மொத்தம் 2021 ஜிபி குறியீடு, பயன்பாடுகள், ஆவணங்கள், குமிழ்கள் மற்றும் ஃபார்ம்வேர் உருவாக்கம் தொடர்பான உள்ளமைவுகள் வெளியிடப்பட்டுள்ளன.
இது தொடர்பான கோப்புகள் சில நாட்களாக புழக்கத்தில் இருப்பதாகவும், இன்டெல் நிறுவனத்திடம் இருந்து நேரடியாக செய்திகள் உறுதி செய்யப்படுவதாகவும் இன்டெல் குறிப்பிடுகிறது. பயன்படுத்தப்படும் அமைப்புகள், எனவே இது வழக்கைப் பற்றி கவலைப்பட வேண்டாம்.
இன்டெல்லின் கூற்றுப்படி, மூன்றாம் தரப்பினரால் கசிவு ஏற்பட்டது நிறுவனத்தின் உள்கட்டமைப்பில் ஏற்பட்ட சமரசத்தின் விளைவாக அல்ல.
"எங்கள் தனியுரிம UEFI குறியீடு மூன்றாம் தரப்பினரால் கசிந்ததாகத் தெரிகிறது. பாதுகாப்பு நடவடிக்கையாக தகவல் குழப்பத்தை நாங்கள் நம்பாததால், இது எந்த புதிய பாதுகாப்பு பாதிப்புகளையும் அம்பலப்படுத்தும் என்று நாங்கள் நம்பவில்லை. இந்த குறியீடு ப்ராஜெக்ட் சர்க்யூட் பிரேக்கரில் உள்ள எங்களின் பக் பவுண்டி திட்டத்தால் மூடப்பட்டிருக்கும், மேலும் சாத்தியமான பாதிப்புகளை அடையாளம் காணக்கூடிய எந்தவொரு ஆராய்ச்சியாளரையும் இந்தத் திட்டத்தின் மூலம் எங்கள் கவனத்திற்குக் கொண்டு வர ஊக்குவிக்கிறோம். இந்தச் சூழ்நிலையைப் பற்றி அவர்களுக்குத் தெரிவிக்க வாடிக்கையாளர்கள் மற்றும் பாதுகாப்பு ஆராய்ச்சி சமூகம் ஆகிய இருவரையும் நாங்கள் அணுகுகிறோம்." - இன்டெல் செய்தித் தொடர்பாளர்.
கசிவுக்கான ஆதாரம் யார் என்பது சரியாகக் குறிப்பிடப்படவில்லை (உதாரணமாக OEM உபகரண உற்பத்தியாளர்கள் மற்றும் தனிப்பயன் ஃபார்ம்வேரை உருவாக்கும் நிறுவனங்கள் ஃபார்ம்வேரைத் தொகுப்பதற்கான கருவிகளை அணுகியதால்).
வழக்கு பற்றி, வெளியிடப்பட்ட கோப்பின் உள்ளடக்கத்தின் பகுப்பாய்வு சில சோதனைகள் மற்றும் சேவைகளை வெளிப்படுத்தியதாகக் குறிப்பிடப்பட்டுள்ளது குறிப்பிட்ட லெனோவா தயாரிப்புகள் ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), ஆனால் Lenovo இன் கசிவில் ஈடுபட்டது OEMகளுக்கான ஃபார்ம்வேரை உருவாக்கும் Insyde மென்பொருளில் இருந்து பயன்பாடுகள் மற்றும் நூலகங்களை வெளிப்படுத்தியது. git பதிவில் இருந்து ஒரு மின்னஞ்சல் உள்ளது ஊழியர்களில் ஒருவர் LC எதிர்கால மையம், இது பல்வேறு OEMகளுக்கான மடிக்கணினிகளை உற்பத்தி செய்கிறது.
இன்டெல் கருத்துப்படி, திறந்த அணுகலுக்குச் சென்ற குறியீட்டில் முக்கியமான தரவு இல்லை அல்லது புதிய பாதிப்புகளை வெளிப்படுத்த பங்களிக்கக்கூடிய கூறுகள். அதே நேரத்தில், இன்டெல் இயங்குதளங்களின் பாதுகாப்பை ஆராய்வதில் நிபுணத்துவம் பெற்ற மார்க் யெர்மோலோவ், ஆவணப்படுத்தப்படாத MSR பதிவுகள் (மாடல்-குறிப்பிட்ட பதிவுகள், மைக்ரோகோட் மேலாண்மை, கண்காணிப்பு மற்றும் பிழைத்திருத்தம் ஆகியவற்றிற்குப் பயன்படுத்தப்படும்) பற்றிய தகவல்களை வெளியிடப்பட்ட கோப்பில் வெளியிட்டார். ஒரு இரகசியமற்ற ஒப்பந்தம்.
கூடுதலாக, ஃபார்ம்வேரில் டிஜிட்டல் கையொப்பமிடப் பயன்படும் கோப்பில் ஒரு தனிப்பட்ட விசை காணப்பட்டது,, que இன்டெல் பூட் கார்டு பாதுகாப்பை புறக்கணிக்க பயன்படுத்தப்படலாம் (விசை வேலை செய்வதை உறுதிப்படுத்தவில்லை, இது ஒரு சோதனை விசையாக இருக்கலாம்.)
ஃபார்ம்வேர் மற்றும் இன்டெல் தயாரிப்புகளில் உள்ள பாதுகாப்புச் சிக்கல்களைக் கண்டறிவதற்காக $500 முதல் $100,000 வரையிலான வெகுமதிகளை செலுத்துவதை உள்ளடக்கிய ப்ராஜெக்ட் சர்க்யூட் பிரேக்கர் நிரலை திறந்த அணுகலுக்குச் சென்ற குறியீடு உள்ளடக்கியதாகக் குறிப்பிடப்பட்டுள்ளது (ஆராய்ச்சியாளர்கள் புகாரளிக்க வெகுமதிகளைப் பெறலாம் என்பது புரிந்துகொள்ளப்படுகிறது கசிவின் உள்ளடக்கங்களைப் பயன்படுத்தி கண்டறியப்பட்ட பாதிப்புகள்).
"இந்த குறியீடு ப்ராஜெக்ட் சர்க்யூட் பிரேக்கர் பிரச்சாரத்தில் உள்ள எங்களின் பிழை பவுண்டி திட்டத்தால் மூடப்பட்டிருக்கும், மேலும் சாத்தியமான பாதிப்புகளை அடையாளம் காணக்கூடிய எந்தவொரு ஆராய்ச்சியாளரையும் இந்தத் திட்டத்தின் மூலம் எங்களிடம் புகாரளிக்க நாங்கள் ஊக்குவிக்கிறோம்," இன்டெல் மேலும் கூறியது.
இறுதியாக, தரவு கசிவு தொடர்பாக, வெளியிடப்பட்ட குறியீட்டில் மிக சமீபத்திய மாற்றம் செப்டம்பர் 30, 2022 தேதியிட்டது, எனவே வெளியிடப்பட்ட தகவல் புதுப்பிக்கப்பட்டது என்பதைக் குறிப்பிடுவது மதிப்பு.