Intel har bekræftet UEFI BIOS-kildekodelækage til Alder Lake-processorer

Intel har bekræftet lækagen af ​​12. generations Intel Core (Alder Lake) UEFI BIOS-kildekode. Det inkluderer 5,97 GB data, inklusive kildekoder, private nøgler, changelogs og kompileringsværktøjer. Den seneste fil er dateret 30. september 2022.

Forskerne bemærker, at kildekoden indeholder mange referencer til Lenovo, herunder "Lenovo String Service", "Lenovo Secure Suite" og "Lenovo Cloud Service". På nuværende tidspunkt vides det ikke, om lækagen var resultatet af et cyberangreb, eller om dataene blev offentliggjort af en insider.

Intels proprietære UEFI-kode ser ud til at være blevet offentliggjort af en tredjepart. Virksomheden mener ikke, at dette åbner op for nye sikkerhedssårbarheder, da Intel ikke er afhængig af sløring af oplysninger som en sikkerhedsforanstaltning. Denne kode er kvalificeret til virksomhedens "bug bounty"-program under Project Circuit Breaker-kampagnen.

De opfordrer alle forskere, der måtte opdage potentielle sårbarheder, til at gøre dem opmærksom på dette program. Intel kontakter både kunder og sikkerhedsforskningssamfundet for at informere dem om denne situation.

Informationssikkerhedseksperter er dog ikke så optimistiske. Faktum er, at disse data vil hjælpe angribere med at opdage sårbarheder i koden. Et andet problem er, at lækagen indeholder den private KeyManifest-krypteringsnøgle til Intel Boot Guard. Hvis denne nøgle faktisk bruges af Intel, kan hackere potentielt bruge den til at ændre boot-politikken og omgå hardwarebeskyttelse.

via Fællesskab