Intel imethibitisha uhalisi wa programu dhibiti ya UEFI na nambari za chanzo za BIOS zilizochapishwa na mtu asiyejulikana kwenye GitHub. Jumla ya GB 5.8 ya msimbo, huduma, hati, blobs na mipangilio inayohusiana na uundaji wa programu dhibiti kwa mifumo iliyo na vichakataji kulingana na usanifu mdogo wa Alder Lake, iliyotolewa mnamo Novemba 2021, ilichapishwa. Mabadiliko ya hivi majuzi zaidi kwa nambari iliyochapishwa ni ya tarehe 30 Septemba 2022.
Kulingana na Intel, uvujaji huo ulitokea kwa sababu ya kosa la mtu wa tatu, na sio kama matokeo ya maelewano ya miundombinu ya kampuni. Imetajwa pia kuwa nambari iliyovuja inafunikwa na programu ya Project Circuit Breaker, ambayo hutoa zawadi kuanzia $500 hadi $100000 kwa kutambua matatizo ya usalama katika mfumo wa uendeshaji wa Intel na bidhaa (ikimaanisha kuwa watafiti wanaweza kupokea thawabu kwa kuripoti udhaifu unaogunduliwa kwa kutumia yaliyomo kwenye vuja).
Haijabainishwa ni nani hasa alikua chanzo cha uvujaji (watengenezaji wa vifaa vya OEM na kampuni zinazounda firmware maalum zilikuwa na ufikiaji wa zana za kukusanyika firmware). Uchanganuzi wa yaliyomo kwenye kumbukumbu iliyochapishwa ulifunua majaribio na huduma maalum kwa bidhaa za Lenovo ("Habari ya Jaribio la Lebo ya Kipengele cha Lenovo', "Huduma ya Kamba ya Lenovo", "Lenovo Secure Suite", "Huduma ya Wingu ya Lenovo"), lakini ushiriki wa Lenovo katika uvujaji bado haujathibitishwa. Kumbukumbu pia ilifichua huduma na maktaba za kampuni ya Insyde Software, ambayo hutengeneza firmware kwa OEMs, na logi ya git ina barua pepe kutoka kwa mmoja wa wafanyikazi wa kampuni ya LC Future Center, ambayo hutengeneza kompyuta za mkononi za OEM mbalimbali. Kampuni zote mbili zinashirikiana na Lenovo.
Kulingana na Intel, msimbo unaopatikana kwa umma hauna data ya siri au vipengele vyovyote vinavyoweza kuchangia katika ufichuzi wa udhaifu mpya. Wakati huo huo, Mark Ermolov, ambaye ni mtaalamu wa kutafiti usalama wa majukwaa ya Intel, alibainisha katika kumbukumbu iliyochapishwa habari kuhusu rejista za MSR zisizo na kumbukumbu (Daftari Maalum za Mfano, zinazotumiwa, kati ya mambo mengine, kwa usimamizi wa microcode, kufuatilia na kurekebisha), habari kuhusu ambayo iko chini ya makubaliano ya kutofichua. Zaidi ya hayo, ufunguo wa faragha ulipatikana kwenye kumbukumbu, unaotumiwa kusaini firmware ya dijiti, ambayo inaweza kutumika kukwepa ulinzi wa Intel Boot Guard (utendaji wa ufunguo haujathibitishwa; inawezekana kwamba hii ni ufunguo wa majaribio).
Chanzo: opennet.ru