Intel potvrdil únik zdrojového kódu UEFI BIOS pro procesory Alder Lake

Intel potvrdil únik zdrojového kódu UEFI BIOS 12. generace Intel Core (Alder Lake). Zahrnuje 5,97 GB dat, včetně zdrojových kódů, soukromých klíčů, protokolů změn a nástrojů pro kompilaci. Nejnovější soubor je z 30. září 2022.

Výzkumníci poznamenávají, že zdrojový kód obsahuje mnoho odkazů na Lenovo, včetně „Lenovo String Service“, „Lenovo Secure Suite“ a „Lenovo Cloud Service“. V tuto chvíli není známo, zda byl únik výsledkem kybernetického útoku, nebo zda data zveřejnil nějaký zasvěcený člověk.

Zdá se, že proprietární kód UEFI společnosti Intel byl zveřejněn třetí stranou. Společnost nevěří, že by to otevřelo nějaké nové bezpečnostní zranitelnosti, protože Intel nespoléhá na zamlžování informací jako bezpečnostní opatření. Tento kód je způsobilý pro firemní program „bug bounty“ v rámci kampaně Project Circuit Breaker.

Povzbuzují všechny výzkumníky, kteří mohou objevit potenciální zranitelnosti, aby je upozornili na tento program. Společnost Intel oslovuje zákazníky i komunitu bezpečnostních výzkumů, aby je o této situaci informovala.

Odborníci na informační bezpečnost však tak optimističtí nejsou. Faktem je, že tato data pomohou útočníkům odhalit zranitelnosti v kódu. Dalším problémem je, že únik obsahuje soukromý šifrovací klíč KeyManifest pro Intel Boot Guard. Pokud tento klíč Intel skutečně používá, pak by jej hackeři potenciálně mohli použít ke změně bootovací politiky a obejití hardwarové ochrany.

přes Společenství