Mã phần cứng BIOS cho bộ xử lý Intel Alder Lake đã được đăng trên 4chan
Cách đây vài ngày trên mạng tin tức về vụ rò rỉ mã Alder Lake UFEI đã được phát hành từ Intel trên 4chan và một bản sao sau đó đã được xuất bản trên GitHub.
Về trường hợp Intel, không áp dụng ngay lập tức, nhưng hiện đã xác nhận tính xác thực từ mã nguồn phần sụn UEFI và BIOS được đăng bởi một người không xác định trên GitHub. Tổng cộng, 5,8 GB mã, tiện ích, tài liệu, đốm màu và cấu hình liên quan đến việc hình thành chương trình cơ sở đã được xuất bản cho các hệ thống có bộ xử lý dựa trên vi kiến trúc Alder Lake, được phát hành vào tháng 2021 năm XNUMX.
Intel đề cập rằng các tệp liên quan đã được lưu hành trong một vài ngày và do đó tin tức đang được xác nhận trực tiếp từ Intel, trong đó đề cập rằng họ muốn chỉ ra rằng vấn đề này không bao hàm những rủi ro mới đối với bảo mật của các chip và hệ thống được sử dụng, vì vậy nó kêu gọi không được báo động về trường hợp.
Theo Intel, sự cố rò rỉ xảy ra do bên thứ ba và không phải là kết quả của sự thỏa hiệp trong cơ sở hạ tầng của công ty.
“Mã UEFI độc quyền của chúng tôi dường như đã bị rò rỉ bởi một bên thứ ba. Chúng tôi không tin rằng điều này sẽ làm lộ ra bất kỳ lỗ hổng bảo mật mới nào, vì chúng tôi không dựa vào sự xáo trộn thông tin như một biện pháp bảo mật. Mã này được bao gồm trong chương trình tiền thưởng lỗi của chúng tôi trong Project Circuit Breaker và chúng tôi khuyến khích bất kỳ nhà nghiên cứu nào có thể xác định các lỗ hổng tiềm ẩn để chúng tôi chú ý đến thông qua chương trình này. Chúng tôi đang liên hệ với cả khách hàng và cộng đồng nghiên cứu bảo mật để thông báo cho họ về tình huống này. " - Người phát ngôn của Intel.
Do đó, không xác định được ai chính xác là nguồn gây ra rò rỉ (ví dụ: các nhà sản xuất thiết bị OEM và các công ty phát triển phần mềm tùy chỉnh có quyền truy cập vào các công cụ để biên dịch phần sụn).
Về trường hợp, người ta đề cập rằng việc phân tích nội dung của tệp được xuất bản đã tiết lộ một số thử nghiệm và dịch vụ cụ thể sản phẩm của Lenovo ("Thông tin kiểm tra thẻ tính năng của Lenovo", "Dịch vụ chuỗi Lenovo", "Lenovo Secure Suite", "Dịch vụ đám mây Lenovo"), nhưng việc Lenovo tham gia vào vụ rò rỉ cũng tiết lộ các tiện ích và thư viện từ Insyde Software, công ty phát triển phần sụn cho OEM và nhật ký git chứa một email từ một trong những nhân viên của Trung tâm tương lai LC, công ty sản xuất máy tính xách tay cho nhiều OEM khác nhau.
Theo Intel, mã đi vào quyền truy cập mở không chứa dữ liệu nhạy cảm hoặc các thành phần có thể góp phần tiết lộ các lỗ hổng bảo mật mới. Đồng thời, Mark Yermolov, người chuyên nghiên cứu tính bảo mật của các nền tảng Intel, đã tiết lộ trong tệp được công bố thông tin về nhật ký MSR không có giấy tờ (nhật ký dành riêng cho mô hình, được sử dụng để quản lý, theo dõi và gỡ lỗi vi mã), thông tin về một thỏa thuận không bảo mật.
Bên cạnh đó, một khóa cá nhân đã được tìm thấy trong tệp, được sử dụng để ký kỹ thuật số phần sụnĐó có thể được sử dụng để vượt qua bảo vệ Intel Boot Guard (Chìa khóa chưa được xác nhận là hoạt động, nó có thể là một chìa khóa kiểm tra.)
Nó cũng được đề cập rằng mã đi vào quyền truy cập mở bao gồm chương trình Project Circuit Breaker, liên quan đến việc trả các phần thưởng từ 500 đến 100,000 đô la để xác định các vấn đề bảo mật trong phần sụn và các sản phẩm của Intel (điều này được hiểu rằng các nhà nghiên cứu có thể nhận được phần thưởng để báo cáo các lỗ hổng được phát hiện bằng cách sử dụng nội dung bị rò rỉ).
"Mã này được bao gồm trong chương trình tiền thưởng lỗi của chúng tôi trong chiến dịch Project Circuit Breaker và chúng tôi khuyến khích bất kỳ nhà nghiên cứu nào có thể xác định các lỗ hổng tiềm ẩn hãy báo cáo chúng cho chúng tôi thông qua chương trình này", Intel nói thêm.
Cuối cùng, điều đáng nói là liên quan đến vụ rò rỉ dữ liệu, thay đổi gần đây nhất trong mã được công bố là ngày 30 tháng 2022 năm XNUMX, vì vậy thông tin được phát hành đã được cập nhật.