Intel Alder Lake işlemciler için BIOS donanım kodu 4chan'da yayınlandı
Birkaç gün önce internette Alder Lake UFEI kod sızıntısı ile ilgili haberler yayınlandı 4chan'da Intel'den ve daha sonra GitHub'da bir kopyası yayınlandı.
dava hakkında Intel, anında uygulanmadı, ancak şimdi orijinalliğini onayladı GitHub'da bilinmeyen bir kişi tarafından yayınlanan UEFI ve BIOS üretici yazılımı kaynak kodlarından. Toplamda, Kasım 5,8'de piyasaya sürülen Alder Lake mikro mimarisine dayalı işlemcilere sahip sistemler için bellenim oluşumuyla ilgili 2021 GB kod, yardımcı programlar, belgeler, bloblar ve yapılandırmalar yayınlandı.
Intel, ilgili dosyaların birkaç gündür dolaşımda olduğunu ve bu nedenle haberin doğrudan Intel'den doğrulandığını belirterek, konunun çiplerin güvenliği için yeni riskler anlamına gelmediğini belirtmek istediğini belirtiyor. sistemlerin kullanıldığı durum hakkında alarma geçilmemesini gerektirir.
Intel'e göre, sızıntı üçüncü bir taraf yüzünden gerçekleşti ve şirketin altyapısındaki bir uzlaşmanın sonucu olarak değil.
"Tescilli UEFI kodumuz üçüncü bir tarafça sızdırılmış gibi görünüyor. Bir güvenlik önlemi olarak bilgi gizlemeye güvenmediğimizden, bunun yeni güvenlik açıklarını ortaya çıkaracağına inanmıyoruz. Bu kod, Project Circuit Breaker'daki hata ödül programımız tarafından kapsanmaktadır ve potansiyel güvenlik açıklarını tespit edebilen tüm araştırmacıları bu program aracılığıyla dikkatimize sunmaya teşvik ediyoruz. Bu durum hakkında onları bilgilendirmek için hem müşterilere hem de güvenlik araştırmaları topluluğuna ulaşıyoruz." - Intel sözcüsü.
Bu nedenle, sızıntının kaynağının tam olarak kim olduğu belirtilmemiştir (örneğin OEM ekipman üreticileri ve özel bellenim geliştiren şirketler, bellenimi derlemek için araçlara erişime sahipti).
dava hakkında, yayınlanan dosyanın içeriğinin analizinin bazı testler ve hizmetleri ortaya çıkardığı belirtiliyor. özel Lenovo ürünlerinin ("Lenovo Özellik Etiketi Test Bilgileri", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), ancak Lenovo'nun sızıntıya dahil olması, OEM'ler için ürün yazılımı geliştiren Insyde Software'den yardımcı programları ve kitaplıkları da ortaya çıkardı ve git günlüğü şu adresten bir e-posta içeriyor: çalışanlarından biri LC Gelecek Merkezi, çeşitli OEM'ler için dizüstü bilgisayarlar üreten.
Intel'e göre, açık erişime giren kod hassas veriler içermiyor veya yeni güvenlik açıklarının ifşa edilmesine katkıda bulunabilecek bileşenler. Aynı zamanda, Intel platformlarının güvenliğini araştırma konusunda uzman olan Mark Yermolov, yayınlanan dosyada, belgelenmemiş MSR günlükleri (mikro kod yönetimi, izleme ve hata ayıklama için kullanılan modele özel günlükler) hakkındaki bilgileri açıkladı. gizlilik içermeyen bir anlaşma.
Buna ek olarak, dosyada, bellenimi dijital olarak imzalamak için kullanılan özel bir anahtar bulunduO Intel Boot Guard korumasını atlamak için potansiyel olarak kullanılabilir (Anahtarın çalıştığı onaylanmadı, bir test anahtarı olabilir.)
Açık erişime giren kodun, ürün yazılımı ve Intel ürünlerindeki güvenlik sorunlarını tespit etmek için 500 ila 100,000 ABD Doları arasında değişen ödüllerin ödenmesini içeren Proje Devre Kesici programını kapsadığından da bahsedilmektedir (araştırmacıların rapor için ödüller alabilecekleri anlaşılmaktadır). sızıntının içeriği kullanılarak keşfedilen güvenlik açıkları).
Intel, "Bu kod, Proje Devre Kesici kampanyasındaki hata ödül programımız tarafından kapsanmaktadır ve potansiyel güvenlik açıklarını tespit edebilen tüm araştırmacıları bu program aracılığıyla bize bildirmeye teşvik ediyoruz."
Son olarak veri sızıntısı ile ilgili olarak yayınlanan koddaki en son değişikliğin 30 Eylül 2022 tarihli olduğunu, dolayısıyla yayınlanan bilgilerin güncellendiğini belirtmekte fayda var.