รหัสฮาร์ดแวร์ BIOS สำหรับโปรเซสเซอร์ Intel Alder Lake ถูกโพสต์บน 4chan
เมื่อไม่กี่วันก่อนในเน็ต ข่าวเกี่ยวกับการรั่วไหลของรหัส Alder Lake UFEI ได้รับการเผยแพร่แล้ว จาก Intel บน 4chan และเผยแพร่ในภายหลังบน GitHub
เกี่ยวกับคดี Intel ไม่ได้สมัครทันที แต่ตอนนี้ยืนยันความถูกต้องแล้ว จากซอร์สโค้ดเฟิร์มแวร์ UEFI และ BIOS ที่โพสต์โดยบุคคลที่ไม่รู้จักบน GitHub โดยรวมแล้ว โค้ด ยูทิลิตี้ เอกสารประกอบ blobs และการกำหนดค่า 5,8 GB ที่เกี่ยวข้องกับการก่อตัวของเฟิร์มแวร์ได้รับการเผยแพร่สำหรับระบบที่มีโปรเซสเซอร์ซึ่งใช้สถาปัตยกรรมไมโคร Alder Lake ซึ่งเปิดตัวในเดือนพฤศจิกายน 2021
Intel ระบุว่าไฟล์ที่เกี่ยวข้องได้รับการเผยแพร่เป็นเวลาสองสามวันแล้ว และข่าวดังกล่าวได้รับการยืนยันโดยตรงจาก Intel ซึ่งระบุว่าต้องการชี้ให้เห็นว่าเรื่องนี้ไม่ได้หมายความถึงความเสี่ยงใหม่ ๆ ต่อความปลอดภัยของชิปและ ระบบที่ใช้จึงเรียกร้องไม่ตื่นตระหนกกับคดี
จากข้อมูลของ Intel การรั่วไหลเกิดขึ้นเนื่องจากบุคคลที่สาม และไม่เป็นผลจากการประนีประนอมในโครงสร้างพื้นฐานของบริษัท
“รหัส UEFI ที่เป็นกรรมสิทธิ์ของเราดูเหมือนจะรั่วไหลโดยบุคคลที่สาม เราไม่เชื่อว่าสิ่งนี้จะเปิดเผยช่องโหว่ด้านความปลอดภัยใหม่ๆ เนื่องจากเราไม่ได้อาศัยการทำให้ข้อมูลสับสนเป็นมาตรการรักษาความปลอดภัย รหัสนี้ครอบคลุมโดยโปรแกรม Bug Bounty ของเราภายใน Project Circuit Breaker และเราสนับสนุนให้นักวิจัยทุกคนสามารถระบุช่องโหว่ที่อาจเกิดขึ้นเพื่อแจ้งให้เราทราบผ่านโปรแกรมนี้ เรากำลังติดต่อไปยังทั้งลูกค้าและชุมชนการวิจัยด้านความปลอดภัยเพื่อแจ้งให้พวกเขาทราบเกี่ยวกับสถานการณ์นี้" — โฆษกของอินเทล
ดังนั้นจึงไม่ได้ระบุแน่ชัดว่าใครเป็นต้นเหตุของการรั่วไหล (เช่น ผู้ผลิตอุปกรณ์ OEM และบริษัทที่พัฒนาเฟิร์มแวร์แบบกำหนดเองได้เข้าถึงเครื่องมือในการคอมไพล์เฟิร์มแวร์)
เกี่ยวกับคดีว่ากันว่าการวิเคราะห์เนื้อหาของไฟล์ที่เผยแพร่เผยให้เห็นการทดสอบและบริการบางอย่าง โดยเฉพาะ ของผลิตภัณฑ์เลอโนโว ("ข้อมูลการทดสอบแท็กคุณสมบัติของ Lenovo", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service") แต่การมีส่วนร่วมของ Lenovo ในการรั่วไหลยังเผยให้เห็นยูทิลิตี้และไลบรารีจาก Insyde Software ซึ่งพัฒนาเฟิร์มแวร์สำหรับ OEM และ บันทึก git มีอีเมลจาก พนักงานคนหนึ่งของ แอลซี ฟิวเจอร์ เซ็นเตอร์ซึ่งผลิตแล็ปท็อปสำหรับ OEM ต่างๆ
ตามข้อมูลของ Intel รหัสที่เข้าสู่การเข้าถึงแบบเปิดไม่มีข้อมูลที่ละเอียดอ่อน หรือส่วนประกอบที่อาจนำไปสู่การเปิดเผยช่องโหว่ใหม่ ในเวลาเดียวกัน Mark Yermolov ซึ่งเชี่ยวชาญในการวิจัยความปลอดภัยของแพลตฟอร์ม Intel ได้เปิดเผยในไฟล์ที่เผยแพร่เกี่ยวกับบันทึก MSR ที่ไม่มีเอกสาร (บันทึกเฉพาะรุ่น ใช้สำหรับการจัดการไมโครโค้ด การติดตาม และการดีบัก) ข้อมูลที่อยู่ภายใต้ ข้อตกลงที่ไม่เป็นความลับ
นอกจากนี้ พบคีย์ส่วนตัวในไฟล์ ซึ่งใช้ในการลงนามเฟิร์มแวร์แบบดิจิทัลที่ สามารถใช้เพื่อหลีกเลี่ยงการป้องกัน Intel Boot Guard ได้ (คีย์ไม่ได้รับการยืนยันการทำงาน อาจเป็นคีย์ทดสอบ)
นอกจากนี้ยังกล่าวถึงรหัสที่เข้าสู่การเข้าถึงแบบเปิดครอบคลุมโปรแกรม Project Circuit Breaker ซึ่งเกี่ยวข้องกับการจ่ายเงินรางวัลตั้งแต่ $500 ถึง $100,000 สำหรับการระบุปัญหาด้านความปลอดภัยในเฟิร์มแวร์และผลิตภัณฑ์ของ Intel (เป็นที่เข้าใจกันว่านักวิจัยสามารถรับรางวัลเพื่อรายงาน ช่องโหว่ที่ค้นพบโดยใช้เนื้อหาของการรั่วไหล)
"รหัสนี้ครอบคลุมโดยโปรแกรมหาจุดบกพร่องของเราในแคมเปญ Project Circuit Breaker และเราสนับสนุนให้นักวิจัยทุกคนสามารถระบุช่องโหว่ที่อาจเกิดขึ้นเพื่อรายงานให้เราทราบผ่านโปรแกรมนี้" Intel กล่าวเสริม
สุดท้าย เป็นมูลค่าการกล่าวขวัญว่าเกี่ยวกับการรั่วไหลของข้อมูล การเปลี่ยนแปลงล่าสุดในโค้ดที่เผยแพร่คือวันที่ 30 กันยายน 2022 ดังนั้นข้อมูลที่เผยแพร่จะได้รับการอัปเดต