Intel GitHub-da naməlum şəxs tərəfindən dərc edilmiş UEFI mikroproqramının və BIOS mənbə kodlarının həqiqiliyini təsdiqləyib. 5.8-ci ilin noyabrında buraxılmış Alder Lake mikroarxitekturasına əsaslanan prosessorlu sistemlər üçün mikroproqramın yaradılması ilə bağlı cəmi 2021 GB kod, kommunal proqramlar, sənədlər, bloblar və parametrlər dərc edilib. Dərc edilmiş koda ən son dəyişiklik 30 sentyabr 2022-ci il tarixdə olub.
Intel-in fikrincə, sızma şirkətin infrastrukturunun güzəştə getməsi nəticəsində deyil, üçüncü tərəfin təqsiri üzündən baş verib. Həmçinin qeyd edilir ki, sızan kodun Intel proshivka və məhsullarında təhlükəsizlik problemlərinin müəyyən edilməsinə görə 500-100000 ABŞ dolları məbləğində mükafatlar təqdim edən Project Circuit Breaker proqramı əhatə edir (tədqiqatçıların proqramın məzmunundan istifadə etməklə aşkar edilmiş zəiflikləri bildirmək üçün mükafat ala biləcəklərini nəzərdə tutur). sızma).
Sızmanın dəqiq kimin mənbəyi olduğu göstərilmir (OEM avadanlıq istehsalçıları və xüsusi proqram təminatı hazırlayan şirkətlər proqram təminatının yığılması üçün alətlərə çıxış əldə etmişdilər). Dərc edilmiş arxivin məzmununun təhlili Lenovo məhsullarına xas olan bəzi testlər və xidmətləri ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service"), lakin Lenovo-nun sızma hələ təsdiqlənməyib. Arxiv həmçinin OEM-lər üçün proqram təminatı hazırlayan Insyde Software şirkətinin kommunal proqramlarını və kitabxanalarını aşkar edib və git jurnalında müxtəlif OEM-lər üçün noutbuklar istehsal edən LC Future Center şirkətinin əməkdaşlarından birinin elektron poçtu var. Hər iki şirkət Lenovo ilə əməkdaşlıq edir.
Intel şirkətinin məlumatına görə, ictimaiyyətə açıq kodda məxfi məlumatlar və ya yeni boşluqların açılmasına kömək edə biləcək hər hansı komponent yoxdur. Eyni zamanda, Intel platformalarının təhlükəsizliyinin tədqiqi üzrə ixtisaslaşan Mark Ermolov nəşr edilmiş arxivdə sənədsiz MSR registrləri (Mikrokodların idarə edilməsi, izləmə və sazlama üçün istifadə edilən Model Xüsusi Registrlər) haqqında məlumat müəyyən edib. açıqlanmayan müqaviləyə tabedir. Üstəlik, arxivdə proqram təminatının rəqəmsal imzalanması üçün istifadə edilən, potensial olaraq Intel Boot Guard qorunmasından yan keçmək üçün istifadə edilə bilən şəxsi açar tapıldı (açarın funksionallığı təsdiqlənməyib; bunun sınaq açarı olması mümkündür).
Mənbə: opennet.ru