Intel je potrdil pristnost izvorne kode vdelane programske opreme UEFI in BIOS-a, ki jo je neznana oseba objavila na GitHubu. Skupaj je bilo objavljenih 5.8 GB kode, pripomočkov, dokumentacije, blobov in nastavitev, povezanih z generiranjem vdelane programske opreme za sisteme s procesorji, ki temeljijo na mikroarhitekturi Alder Lake, ki je bila izdana novembra 2021. Zadnja sprememba objavljene kode je bila z dne 30. septembra 2022.
Po mnenju Intela je do uhajanja prišlo po krivdi tretje osebe in ne kot posledica ogrožanja infrastrukture podjetja. Omenjeno je tudi, da kodo, ki je ušla, pokriva program Project Circuit Breaker, ki zagotavlja nagrade v razponu od 500 do 100000 dolarjev za prepoznavanje varnostnih težav v vdelani programski opremi in izdelkih Intel (kar pomeni, da lahko raziskovalci prejmejo nagrade za poročanje o ranljivostih, odkritih z uporabo vsebine puščanje).
Ni določeno, kdo točno je postal vir uhajanja (proizvajalci opreme OEM in podjetja, ki razvijajo vdelano programsko opremo po meri, so imela dostop do orodij za sestavljanje vdelane programske opreme). Analiza vsebine objavljenega arhiva je razkrila nekaj testov in storitev, značilnih za izdelke Lenovo (»Lenovo Feature Tag Test Information«, »Lenovo String Service«, »Lenovo Secure Suite«, »Lenovo Cloud Service«), vendar je vpletenost Lenovo v uhajanje še ni potrjeno. Arhiv je razkril tudi pripomočke in knjižnice podjetja Insyde Software, ki razvija strojno programsko opremo za proizvajalce originalne opreme, git log pa vsebuje e-pošto enega od zaposlenih v podjetju LC Future Center, ki proizvaja prenosnike za različne proizvajalce originalne opreme. Obe podjetji sodelujeta z družbo Lenovo.
Po mnenju Intela javno dostopna koda ne vsebuje zaupnih podatkov ali kakršnih koli komponent, ki bi lahko prispevale k razkritju novih ranljivosti. Hkrati je Mark Ermolov, ki se ukvarja z raziskovanjem varnosti Intelovih platform, v objavljenem arhivu prepoznal podatke o nedokumentiranih registrih MSR (Model Specific Registers, ki se med drugim uporabljajo za upravljanje mikrokod, sledenje in odpravljanje napak), informacije o za katerega velja pogodba o nerazkritju podatkov. Poleg tega je bil v arhivu najden zasebni ključ, ki se uporablja za digitalno podpisovanje vdelane programske opreme, s katerim bi potencialno lahko obšli zaščito Intel Boot Guard (delovanje ključa ni potrjeno; možno je, da je to testni ključ).
Vir: opennet.ru