Intel telah mengesahkan ketulenan perisian tegar UEFI dan kod sumber BIOS yang diterbitkan oleh orang yang tidak dikenali di GitHub. Sejumlah 5.8 GB kod, utiliti, dokumentasi, gumpalan dan tetapan yang berkaitan dengan penjanaan perisian tegar untuk sistem dengan pemproses berdasarkan seni bina mikro Tasik Alder, yang dikeluarkan pada November 2021, telah diterbitkan. Perubahan terbaharu kepada kod yang diterbitkan adalah bertarikh 30 September 2022.
Menurut Intel, kebocoran itu berlaku kerana kesalahan pihak ketiga, dan bukan akibat kompromi infrastruktur syarikat. Ia juga disebut bahawa kod yang bocor dilindungi oleh program Project Circuit Breaker, yang menyediakan ganjaran antara $500 hingga $100000 untuk mengenal pasti masalah keselamatan dalam perisian tegar dan produk Intel (menyiratkan bahawa penyelidik boleh menerima ganjaran untuk melaporkan kelemahan yang ditemui menggunakan kandungan bocor).
Tidak dinyatakan siapa sebenarnya yang menjadi punca kebocoran (pengeluar peralatan OEM dan syarikat yang membangunkan perisian tegar tersuai mempunyai akses kepada alat untuk memasang perisian tegar). Analisis kandungan arkib yang diterbitkan mendedahkan beberapa ujian dan perkhidmatan khusus untuk produk Lenovo ("Maklumat Ujian Teg Ciri Lenovo', "Perkhidmatan Rentetan Lenovo", "Suite Secure Lenovo", "Perkhidmatan Awan Lenovo"), tetapi penglibatan Lenovo dalam kebocoran masih belum disahkan. Arkib itu juga mendedahkan utiliti dan perpustakaan syarikat Insyde Software, yang membangunkan perisian tegar untuk OEM, dan log git mengandungi e-mel salah seorang pekerja syarikat LC Future Center, yang menghasilkan komputer riba untuk pelbagai OEM. Kedua-dua syarikat bekerjasama dengan Lenovo.
Menurut Intel, kod yang tersedia untuk umum tidak mengandungi data sulit atau sebarang komponen yang boleh menyumbang kepada pendedahan kelemahan baharu. Pada masa yang sama, Mark Ermolov, yang pakar dalam menyelidik keselamatan platform Intel, mengenal pasti dalam maklumat arkib yang diterbitkan tentang daftar MSR tanpa dokumen (Daftar Khusus Model, digunakan, antara lain, untuk pengurusan mikrokod, pengesanan dan penyahpepijatan), maklumat tentang yang tertakluk kepada perjanjian bukan pendedahan. Selain itu, kunci persendirian ditemui dalam arkib, digunakan untuk menandatangani perisian tegar secara digital, yang berpotensi digunakan untuk memintas perlindungan Intel Boot Guard (fungsi kunci belum disahkan; kemungkinan ini adalah kunci ujian).
Sumber: opennet.ru