Intel har bekreftet UEFI BIOS-kildekodelekkasje for Alder Lake-prosessorer

Intel har bekreftet lekkasjen av 12. generasjons Intel Core (Alder Lake) UEFI BIOS-kildekode. Den inkluderer 5,97 GB data, inkludert kildekoder, private nøkler, endringslogger og kompileringsverktøy. Den siste filen er datert 30. september 2022.

Forskerne bemerker at kildekoden inneholder mange referanser til Lenovo, inkludert «Lenovo String Service», «Lenovo Secure Suite» og «Lenovo Cloud Service». For øyeblikket er det ikke kjent om lekkasjen var et resultat av et cyberangrep eller om dataene ble publisert av noen innsidere.

Intels proprietære UEFI-kode ser ut til å ha blitt offentliggjort av en tredjepart. Selskapet tror ikke dette åpner for noen nye sikkerhetssårbarheter da Intel ikke er avhengig av informasjonsforvirring som et sikkerhetstiltak. Denne koden er kvalifisert for selskapets "bug bounty"-program under Project Circuit Breaker-kampanjen.

De oppfordrer alle forskere som kan oppdage potensielle sårbarheter til å gjøre dem oppmerksom på dette programmet. Intel kontakter både kunder og sikkerhetsforskningsmiljøet for å informere dem om denne situasjonen.

Informasjonssikkerhetseksperter er imidlertid ikke så optimistiske. Faktum er at disse dataene vil hjelpe angripere med å oppdage sårbarheter i koden. Et annet problem er at lekkasjen inneholder den private KeyManifest-krypteringsnøkkelen for Intel Boot Guard. Hvis denne nøkkelen faktisk brukes av Intel, kan hackere potensielt bruke den til å endre oppstartspolicyen og omgå maskinvarebeskyttelse.

via Samfunnet