Intel, GitHub'da bilinmeyen bir kişi tarafından yayınlanan UEFI ürün yazılımı ve BIOS kaynak kodlarının orijinalliğini doğruladı. Kasım 5.8'de piyasaya sürülen Alder Lake mikro mimarisini temel alan işlemcilere sahip sistemler için ürün yazılımı oluşturmaya ilişkin toplam 2021 GB kod, yardımcı programlar, belgeler, bloblar ve ayarlar yayınlandı. Yayınlanan kodda yapılan en son değişiklik 30 Eylül 2022 tarihlidir.
Intel'e göre sızıntı, şirketin altyapısının tehlikeye atılmasının bir sonucu değil, üçüncü bir tarafın hatası nedeniyle meydana geldi. Ayrıca sızdırılan kodun, Intel aygıt yazılımı ve ürünlerindeki güvenlik sorunlarını tespit edenlere 500 ila 100000 ABD Doları arasında değişen ödüller sağlayan Project Circuit Breaker programı kapsamında olduğu da belirtiliyor (araştırmacıların, programın içeriğini kullanarak keşfedilen güvenlik açıklarını bildirmeleri karşılığında ödüller alabilecekleri anlamına geliyor). sızıntı).
Sızıntının kaynağının tam olarak kimin olduğu belirtilmedi (OEM ekipman üreticileri ve özel donanım yazılımı geliştiren şirketlerin donanım yazılımını birleştirme araçlarına erişimi vardı). Yayınlanan arşivin içeriğinin analizi, Lenovo ürünlerine özel bazı testleri ve hizmetleri ("Lenovo Özellik Etiketi Test Bilgileri", "Lenovo String Hizmeti", "Lenovo Secure Suite", "Lenovo Bulut Hizmeti") ortaya çıkardı, ancak Lenovo'nun bu sızıntı henüz doğrulanmadı. Arşiv aynı zamanda OEM'ler için ürün yazılımı geliştiren Insyde Software şirketinin yardımcı programlarını ve kütüphanelerini de ortaya çıkardı ve git günlüğü, çeşitli OEM'ler için dizüstü bilgisayarlar üreten LC Future Center şirketinin çalışanlarından birinden gelen bir e-postayı içeriyor. Her iki şirket de Lenovo ile işbirliği yapıyor.
Intel'e göre kamuya açık kod, yeni güvenlik açıklarının açığa çıkmasına katkıda bulunabilecek gizli veriler veya herhangi bir bileşen içermiyor. Aynı zamanda, Intel platformlarının güvenliğini araştırma konusunda uzman olan Mark Ermolov, yayınlanan arşivde belgelenmemiş MSR kayıtları (diğer şeylerin yanı sıra mikrokod yönetimi, izleme ve hata ayıklama için kullanılan Modele Özel Kayıtlar) hakkında bilgiler belirledi. bu bir gizlilik anlaşmasına tabidir. Ayrıca arşivde, ürün yazılımını dijital olarak imzalamak için kullanılan ve potansiyel olarak Intel Boot Guard korumasını atlamak için kullanılabilecek özel bir anahtar bulundu (anahtarın işlevselliği doğrulanmadı; bunun bir test anahtarı olması mümkündür).
Kaynak: opennet.ru