אינטל אישרה את האותנטיות של קוד המקור של הקושחה של UEFI ו-BIOS שפורסם על ידי אדם לא ידוע ב-GitHub. סך של 5.8 ג'יגה-בייט של קוד, כלי עזר, תיעוד, בלובים והגדרות הקשורים ליצירת קושחה עבור מערכות עם מעבדים המבוססים על המיקרו-ארכיטקטורה של Alder Lake, שפורסמה בנובמבר 2021, פורסמו. השינוי האחרון בקוד שפורסם היה מתאריך 30 בספטמבר 2022.
אינטל הצהירה כי הדליפה נגרמה על ידי צד שלישי, ולא עקב פגיעה בתשתית החברה. כמו כן, היא ציינה כי הקוד שהודלף הוא חלק מתוכנית Project Circuit Breaker, המציעה תגמולים של בין 500 ל-100000 דולר עבור זיהוי בעיות אבטחה בקושחה ובמוצרים של אינטל (חוקרים צפויים לקבל תגמול עבור דיווח על פגיעויות שהתגלו באמצעות הקוד שהודלף).
מקור הדליפה לא צוין (ליצרני ציוד מקורי (OEM) ולמפתחי קושחה מותאמת אישית הייתה גישה לכלי בניית הקושחה). ניתוח הארכיון שפורסם חשף מספר בדיקות ושירותים ספציפיים למוצרי לנובו ('Lenovo Feature Tag Test Information', 'Lenovo String Service', 'Lenovo Secure Suite', 'Lenovo Cloud Service'), אך מעורבותה של לנובו בדליפה טרם אושרה. הארכיון חשף גם כלי עזר וספריות של Insyde Software, חברה המפתחת קושחה עבור יצרני ציוד מקורי (OEM), ויומן ה-git מכיל כתובת דוא"ל של עובד ב-LC Future Center, חברה המייצרת מחשבים ניידים עבור יצרני ציוד מקורי שונים. שתי החברות משתפות פעולה עם לנובו.
לפי אינטל, הקוד הזמין לציבור אינו מכיל נתונים או רכיבים חסויים שעלולים להוביל לחשיפת פגיעויות חדשות. עם זאת, מארק ארמולוב, המתמחה במחקר אבטחת פלטפורמות של אינטל, זיהה מידע אודות MSRs (Model Specific Registers, המשמשים לניהול מיקרו-קוד, מעקב וניפוי שגיאות) לא מתועדים, מידע המכוסה על ידי הסכם סודיות, בארכיון שפורסם. יתר על כן, הארכיון הכיל גם מפתח פרטי המשמש לחתימה דיגיטלית על קושחה, אשר עלול לשמש לעקיפת הגנת Intel Boot Guard (פונקציונליות המפתח לא אושרה; ייתכן שמדובר במפתח בדיקה).
מקור: OpenNet.ru
