Intel wis ngonfirmasi keaslian perangkat kukuh UEFI lan kode sumber BIOS sing diterbitake dening wong sing ora dingerteni ing GitHub. Gunggunge 5.8 GB kode, utilitas, dokumentasi, gumpalan lan setelan sing ana gandhengane karo generasi perangkat kukuh kanggo sistem kanthi prosesor adhedhasar microarchitecture Alder Lake, dirilis ing November 2021, diterbitake. Owahan paling anyar kanggo kode sing diterbitake tanggal 30 September 2022.
Miturut Intel, bocor kasebut kedadeyan amarga kesalahan pihak katelu, lan dudu akibat saka kompromi infrastruktur perusahaan. Uga disebutake manawa kode sing bocor kasebut ditutupi dening program Project Circuit Breaker, sing menehi hadiah saka $ 500 nganti $ 100000 kanggo ngenali masalah keamanan ing perangkat kukuh lan produk Intel (nyatakake manawa peneliti bisa nampa ganjaran kanggo nglaporake kerentanan sing ditemokake nggunakake konten kasebut. bocor).
Ora ditemtokake sapa sing dadi sumber bocor kasebut (produsen peralatan OEM lan perusahaan sing ngembangake perangkat kukuh khusus duwe akses menyang piranti kanggo ngrakit perangkat kukuh). Analisis isi arsip sing diterbitake nuduhake sawetara tes lan layanan khusus kanggo produk Lenovo ("Informasi Tes Tag Fitur Lenovo", "Layanan String Lenovo", "Suite Aman Lenovo", "Layanan Cloud Lenovo"), nanging keterlibatan Lenovo ing bocor durung dikonfirmasi. Arsip kasebut uga mbukak sarana lan perpustakaan perusahaan Insyde Software, sing ngembangake perangkat kukuh kanggo OEM, lan log git ngemot email saka salah sawijining karyawan perusahaan LC Future Center, sing ngasilake laptop kanggo macem-macem OEM. Loro-lorone perusahaan kerja sama karo Lenovo.
Miturut Intel, kode sing kasedhiya kanggo umum ora ngemot data rahasia utawa komponen apa wae sing bisa nyumbang kanggo pambocoran kerentanan anyar. Ing wektu sing padha, Mark Ermolov, sing duwe spesialisasi ing riset keamanan platform Intel, diidentifikasi ing informasi arsip sing diterbitake babagan registrasi MSR sing ora didokumentasikan (Register Spesifik Model, digunakake, antara liya, kanggo manajemen microcode, tracing lan debugging), informasi babagan sing tundhuk karo persetujuan non-disclosure. Menapa malih, tombol pribadi ditemokake ing arsip, digunakake kanggo mlebu perangkat kukuh digital, sing bisa digunakake kanggo ngliwati proteksi Intel Boot Guard (fungsi tombol kasebut durung dikonfirmasi; bisa uga iki minangka kunci tes).
Source: opennet.ru