انٹیل نے GitHub پر نامعلوم شخص کے ذریعہ شائع کردہ UEFI فرم ویئر اور BIOS سورس کوڈز کی صداقت کی تصدیق کی ہے۔ نومبر 5.8 میں جاری کردہ ایلڈر لیک مائیکرو آرکیٹیکچر پر مبنی پروسیسرز والے سسٹمز کے لیے فرم ویئر کی جنریشن سے متعلق کل 2021 جی بی کوڈ، یوٹیلیٹیز، دستاویزات، بلابز اور سیٹنگز شائع کیے گئے تھے۔ شائع شدہ کوڈ میں تازہ ترین تبدیلی 30 ستمبر 2022 کو کی گئی تھی۔
انٹیل کے مطابق، لیک تیسرے فریق کی غلطی کی وجہ سے ہوا، نہ کہ کمپنی کے انفراسٹرکچر کے سمجھوتہ کے نتیجے میں۔ یہ بھی بتایا گیا ہے کہ لیک ہونے والے کوڈ کا احاطہ پروجیکٹ سرکٹ بریکر پروگرام کے ذریعے کیا گیا ہے، جو انٹیل فرم ویئر اور پروڈکٹس میں سیکیورٹی کے مسائل کی نشاندہی کرنے پر $500 سے لے کر $100000 تک کے انعامات فراہم کرتا ہے (اس کا مطلب یہ ہے کہ محققین کے مواد کا استعمال کرتے ہوئے دریافت ہونے والی کمزوریوں کی اطلاع دینے کے لیے انعامات حاصل کر سکتے ہیں۔ لیک)۔
یہ واضح نہیں کیا گیا ہے کہ لیک کا اصل ذریعہ کون بنا (OEM آلات بنانے والے اور کسٹم فرم ویئر تیار کرنے والی کمپنیوں کو فرم ویئر کو جمع کرنے کے ٹولز تک رسائی حاصل تھی)۔ شائع شدہ آرکائیو کے مواد کے تجزیے سے Lenovo کی مصنوعات کے لیے مخصوص کچھ ٹیسٹ اور خدمات کا انکشاف ہوا ("Lenovo Feature Tag Test Information'، "Lenovo String Service"، "Lenovo Secure Suite"، "Lenovo Cloud Service")، لیکن Lenovo کی شمولیت لیک کی ابھی تک تصدیق نہیں ہوئی۔ آرکائیو نے کمپنی Insyde سافٹ ویئر کی افادیت اور لائبریریوں کا بھی انکشاف کیا، جو OEMs کے لیے فرم ویئر تیار کرتی ہے، اور گٹ لاگ میں LC فیوچر سینٹر کمپنی کے ملازمین میں سے ایک کی ای میل شامل ہے، جو مختلف OEMs کے لیے لیپ ٹاپ تیار کرتی ہے۔ دونوں کمپنیاں Lenovo کے ساتھ تعاون کرتی ہیں۔
Intel کے مطابق، عوامی طور پر دستیاب کوڈ میں خفیہ ڈیٹا یا کوئی ایسا اجزاء شامل نہیں ہے جو نئی کمزوریوں کے انکشاف میں حصہ ڈال سکے۔ اسی وقت، مارک ارمولوف، جو انٹیل پلیٹ فارمز کی سیکیورٹی پر تحقیق کرنے میں مہارت رکھتے ہیں، غیر دستاویزی MSR رجسٹروں کے بارے میں شائع شدہ آرکائیو معلومات میں شناخت کی گئی ہے (ماڈل مخصوص رجسٹر، دیگر چیزوں کے علاوہ، مائیکرو کوڈ مینجمنٹ، ٹریسنگ اور ڈیبگنگ) کے بارے میں معلومات۔ جو کہ ایک غیر افشاء معاہدے سے مشروط ہے۔ مزید برآں، آرکائیو میں ایک نجی کلید ملی تھی، جو فرم ویئر کو ڈیجیٹل طور پر سائن کرنے کے لیے استعمال کی جاتی ہے، جو ممکنہ طور پر انٹیل بوٹ گارڈ تحفظ کو نظرانداز کرنے کے لیے استعمال کی جا سکتی ہے (کلید کی فعالیت کی تصدیق نہیں ہوئی ہے؛ یہ ممکن ہے کہ یہ ٹیسٹ کلید ہو)۔
ماخذ: opennet.ru