Intel は、GitHub 上で未知の人物によって公開された UEFI ファームウェアおよび BIOS ソース コードの信頼性を確認しました。 5.8 年 2021 月にリリースされた Alder Lake マイクロアーキテクチャに基づくプロセッサを搭載したシステムのファームウェアの形成に関連する、合計 30 GB のコード、ユーティリティ、ドキュメント、BLOB、および設定が公開されました。 公開されたコードの最新の変更日は 2022 年 XNUMX 月 XNUMX 日です。
Intel によれば、この漏洩はサードパーティの過失によって発生したものであり、同社のインフラストラクチャが侵害された結果ではないとのことです。 また、オープンアクセスになったコードはProject Circuit Breakerプログラムを対象としており、これはファームウェアやIntel製品のセキュリティ問題を特定した場合に500ドルから100000万ドルの報奨金の支払いを暗示していることにも言及されている(研究者は報奨金を受け取ることができると理解されている)リークの内容を使用して発見された脆弱性を報告するため)。
正確に誰が漏洩元となったのかは特定されていない(機器のOEMメーカーやカスタムファームウェアを開発している企業は、ファームウェアを組み立てるためのツールにアクセスできた)。 公開されたアーカイブの内容の分析により、Lenovo 製品に固有のいくつかのテストとサービス (「Lenovo 機能タグ テスト情報」、「Lenovo String Service」、「Lenovo Secure Suite」、「Lenovo Cloud Service」) が明らかになりましたが、Lenovo の関与は漏れはまだ確認されていません。 このアーカイブには、OEM 向けのファームウェアを開発する Insyde Software のユーティリティとライブラリも明らかになり、git ログには、さまざまな OEM 向けのラップトップを製造する LC Future Center の従業員の XNUMX 人からの電子メールが含まれています。 両社はレノボと提携している。
Intel によると、オープンアクセスになったコードには機密データや新たな脆弱性の暴露につながる可能性のあるコンポーネントは含まれていません。 同時に、Intel プラットフォームのセキュリティ研究を専門とする Mark Yermolov 氏は、公開されたアーカイブの中で、文書化されていない MSR レジスタ (特にマイクロコードの管理、トレース、デバッグに使用されるモデル固有レジスタ) に関する情報を明らかにしました。これには機密保持契約が適用されます。 さらに、ファームウェアにデジタル署名するために使用される秘密キーがアーカイブ内で見つかりました。これは、インテル ブート ガード保護をバイパスするために使用される可能性があります (キーのパフォーマンスは確認されていません。これはテスト キーである可能性があります)。
出所: オープンネット.ru