英特爾 Alder Lake 處理器的 BIOS 硬件代碼已發佈在 4chan 上
前幾天在網上 Alder Lake UFEI代碼洩露的消息已經發布 來自 Intel 在 4chan 上,後來在 GitHub 上發布了一份副本。
關於案例 英特爾,沒有立即申請,但現在已經確認了真實性 來自未知人在 GitHub 上發布的 UEFI 和 BIOS 固件源代碼。 總共發布了 5,8 GB 的代碼、實用程序、文檔、blob 和與固件形成相關的配置,這些系統具有基於 2021 年 XNUMX 月發布的基於 Alder Lake 微架構的處理器。
英特爾提到相關文件已經流傳了幾天,因此該消息正在直接從英特爾得到證實,並提到它希望指出此事並不意味著芯片和芯片安全的新風險。所使用的系統,因此它要求不要對這種情況感到震驚。
據英特爾稱,洩漏是由於第三方造成的 而不是由於公司基礎設施的妥協。
“我們專有的 UEFI 代碼似乎已被第三方洩露。 我們認為這不會暴露任何新的安全漏洞,因為我們不依賴信息混淆作為安全措施。 我們在 Project Circuit Breaker 中的漏洞賞金計劃涵蓋了此代碼,我們鼓勵任何能夠識別潛在漏洞的研究人員通過此計劃將其提請我們注意。 我們正在與客戶和安全研究社區聯繫,讓他們了解這種情況。” ——英特爾發言人。
因此,沒有具體說明究竟是誰成為了洩漏的來源(例如,OEM 設備製造商和開發定制固件的公司可以使用工具來編譯固件)。
關於案例,提到對已發布文件內容的分析揭示了一些測試和服務 具體 聯想產品 (“Lenovo Feature Tag Test Information”、“Lenovo String Service”、“Lenovo Secure Suite”、“Lenovo Cloud Service”),但聯想參與洩漏還揭示了 Insyde Software 的實用程序和庫,該公司為 OEM 開發固件,以及 git 日誌包含一封來自 的一名員工 LC未來中心,為各種 OEM 生產筆記本電腦。
據英特爾稱,進入開放訪問的代碼不包含敏感數據 或可能有助於披露新漏洞的組件。 同時,專門研究英特爾平台安全性的Mark Yermolov在公開文件中披露了未記錄的MSR日誌(model-specific log,用於微碼管理、跟踪和調試)的信息,這些信息屬於一份非保密協議。
另外, 在文件中找到了一個私鑰,用於對固件進行數字簽名該 可用於繞過 Intel Boot Guard 保護 (密鑰尚未確認有效,可能是測試密鑰。)
還提到了進入開放獲取的代碼涵蓋了 Project Circuit Breaker 計劃,該計劃涉及支付 500 至 100,000 美元的獎勵,用於識別固件和英特爾產品中的安全問題(據了解,研究人員可以獲得獎勵報告)通過使用洩漏的內容髮現的漏洞)。
英特爾補充說:“此代碼包含在 Project Circuit Breaker 活動中的漏洞賞金計劃中,我們鼓勵任何能夠識別潛在漏洞的研究人員通過該計劃向我們報告這些漏洞。”
最後,值得一提的是,關於數據洩露,最新公佈的代碼更改日期為 30 年 2022 月 XNUMX 日,因此更新了公佈的信息。