Intel ยืนยันการรั่วไหลของซอร์สโค้ด UEFI BIOS สำหรับโปรเซสเซอร์ Alder Lake

Intel ยืนยันการรั่วไหลของซอร์สโค้ด UEFI BIOS เจนเนอเรชั่น 12 ของ Intel Core (Alder Lake) ประกอบด้วยข้อมูล 5.97 GB รวมถึงซอร์สโค้ด คีย์ส่วนตัว บันทึกการเปลี่ยนแปลง และเครื่องมือคอมไพล์ ไฟล์ล่าสุดคือวันที่ 30 กันยายน 2022

นักวิจัยทราบว่าซอร์สโค้ดมีการอ้างอิงถึง Lenovo มากมาย รวมถึง "Lenovo String Service", "Lenovo Secure Suite" และ "Lenovo Cloud Service" ในขณะนี้ ยังไม่ทราบว่าการรั่วไหลเป็นผลมาจากการโจมตีทางไซเบอร์หรือข้อมูลดังกล่าวเผยแพร่โดยคนวงในหรือไม่

รหัส UEFI ที่เป็นกรรมสิทธิ์ของ Intel ดูเหมือนจะถูกเปิดเผยต่อสาธารณะโดยบุคคลที่สาม บริษัทไม่เชื่อว่าสิ่งนี้จะทำให้เกิดช่องโหว่ด้านความปลอดภัยใหม่ๆ เนื่องจาก Intel ไม่ได้อาศัยการทำให้ข้อมูลยุ่งเหยิงเป็นมาตรการรักษาความปลอดภัย รหัสนี้มีสิทธิ์สำหรับโปรแกรม "bug bounty" ของบริษัทภายใต้แคมเปญ Project Circuit Breaker

พวกเขาสนับสนุนให้นักวิจัยทุกคนที่อาจค้นพบช่องโหว่ที่อาจเกิดขึ้นเพื่อดึงความสนใจของโปรแกรมนี้ Intel กำลังติดต่อกับทั้งลูกค้าและชุมชนการวิจัยด้านความปลอดภัยเพื่อแจ้งให้ทราบถึงสถานการณ์นี้

อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลไม่ได้มองในแง่ดีนัก ความจริงก็คือข้อมูลนี้จะช่วยให้ผู้โจมตีสามารถตรวจจับช่องโหว่ในโค้ดได้ ปัญหาอีกประการหนึ่งคือการรั่วไหลประกอบด้วยคีย์การเข้ารหัส KeyManifest ส่วนตัวสำหรับ Intel Boot Guard หาก Intel ใช้คีย์นี้จริง แฮ็กเกอร์อาจใช้คีย์นี้เพื่อเปลี่ยนนโยบายการบู๊ตและข้ามการป้องกันฮาร์ดแวร์

ทาง ชุมชน