英特尔已经确认了 GitHub 上未知人士发布的 UEFI 固件和 BIOS 源代码的真实性。 总共发布了 5.8 GB 的代码、实用程序、文档、blob 和设置,这些代码、实用程序、文档、blob 和设置与 2021 年 30 月发布的基于 Alder Lake 微架构的处理器的系统的固件形成有关。 已发布代码的最新更改日期为 2022 年 XNUMX 月 XNUMX 日。
据英特尔称,泄漏是由于第三方的过错造成的,而不是由于公司基础设施受到损害。 还提到进入开放获取的代码涵盖Project Circuit Breaker程序,这意味着支付500美元到100000美元不等的奖励用于识别固件和英特尔产品中的安全问题(据了解,研究人员可以获得奖励用于报告通过使用泄漏内容发现的漏洞)。
没有具体说明究竟是谁成为了泄漏源(设备的 OEM 制造商和开发自定义固件的公司可以访问用于组装固件的工具)。 在分析已发布档案的内容时,确定了一些特定于 Lenovo 产品的测试和服务(“Lenovo Feature Tag Test Information”、“Lenovo String Service”、“Lenovo Secure Suite”、“Lenovo Cloud Service”),但联想是否参与泄密事件尚未得到证实。 该档案还揭示了为 OEM 开发固件的 Insyde Software 的实用程序和库,并且 git 日志包含来自 LC Future Center 的一名员工的电子邮件,该公司为各种 OEM 生产笔记本电脑。 两家公司都与联想合作。
据英特尔称,进入开放访问的代码不包含机密数据或任何可能导致新漏洞泄露的组件。 与此同时,专门研究英特尔平台安全性的 Mark Yermolov 在公开的档案信息中透露了未记录的 MSR 寄存器(Model Specific Registers,除其他外,用于管理微代码、跟踪和调试)、关于这是受保密协议的约束。 此外,在存档中发现了一个私钥,用于对固件进行数字签名,这可能被用来绕过 Intel Boot Guard 保护(密钥的性能尚未得到确认,这可能是一个测试密钥)。
来源: opennet.ru