Intel нь GitHub дээр үл мэдэгдэх этгээдийн нийтэлсэн UEFI программ хангамж болон BIOS-ийн эх кодуудын жинхэнэ эсэхийг баталгаажууллаа. 5.8 оны 2021-р сард гаргасан Alder Lake бичил архитектур дээр суурилсан процессортой системд зориулсан програм хангамж үүсгэхтэй холбоотой нийт 30 ГБ код, хэрэгслүүд, баримт бичиг, blob болон тохиргоог нийтлэв. Нийтлэгдсэн кодын хамгийн сүүлийн өөрчлөлт нь 2022 оны XNUMX-р сарын XNUMX-ны өдөр юм.
Intel-ийн мэдээлснээр, мэдээлэл алдагдсан нь компанийн дэд бүтцийн эвдрэлээс бус гуравдагч этгээдийн буруугаас болсон байна. Мөн задруулсан кодыг Project Circuit Breaker хөтөлбөрт хамруулж, Intel-ийн программ хангамж болон бүтээгдэхүүний аюулгүй байдлын асуудлыг илрүүлсэн тохиолдолд 500-100000 долларын урамшуулал олгодог (судлаачид програмын агуулгыг ашиглан илрүүлсэн сул талуудыг мэдээлсний төлөө шагнал авах боломжтой гэсэн үг) гэж дурдсан байна. гоожих).
Нэвчилтийг яг хэн үүсгэсэн нь тодорхойгүй байна (OEM тоног төхөөрөмж үйлдвэрлэгчид болон тусгай программ хангамжийг хөгжүүлж буй компаниуд програм хангамжийг угсрах хэрэгслийг ашиглах боломжтой байсан). Нийтлэгдсэн архивын агуулгыг задлан шинжилж үзэхэд Lenovo бүтээгдэхүүнд хамаарах зарим туршилт, үйлчилгээ ("Lenovo Feature Tag Test Information", "Lenovo String Service", "Lenovo Secure Suite", "Lenovo Cloud Service") илэрсэн боловч Lenovo-ийн оролцоо алдагдсан нь хараахан батлагдаагүй байна. Архиваас мөн OEM-д зориулсан програм хангамж боловсруулдаг Insyde Software компанийн хэрэгслүүд, номын сангууд илэрсэн бөгөөд git log нь төрөл бүрийн OEM-д зориулж зөөврийн компьютер үйлдвэрлэдэг LC Future Center компанийн ажилчдын нэгний имэйлийг агуулдаг. Хоёр компани Lenovo-тэй хамтран ажилладаг.
Intel-ийн хэлснээр, олон нийтэд нээлттэй код нь нууц мэдээлэл эсвэл шинэ эмзэг байдлыг задруулахад хувь нэмэр оруулах ямар нэгэн бүрэлдэхүүн хэсгийг агуулаагүй болно. Үүний зэрэгцээ Intel платформуудын аюулгүй байдлыг судлах чиглэлээр мэргэшсэн Марк Ермолов нийтлэгдсэн архиваас баримтжуулаагүй MSR регистрүүдийн (микрокодын удирдлага, мөшгих, дибаг хийхэд ашигладаг загварын тусгай регистрүүд) тухай мэдээллийг олж тогтоосон. нууцыг задруулахгүй байх гэрээнд хамаарна. Нэмж дурдахад архиваас програм хангамжийг дижитал гарын үсэг зурахад ашигладаг хувийн түлхүүр олдсон бөгөөд үүнийг Intel Boot Guard хамгаалалтыг даван туулахад ашиглаж болно (түлхүүрийн ажиллагаа батлагдаагүй; энэ нь туршилтын түлхүүр байж магадгүй).
Эх сурвалж: opennet.ru