英特爾已經確認了 GitHub 上未知人士發布的 UEFI 韌體和 BIOS 原始碼的真實性。 已發布總計 5.8 GB 的程式碼、實用程式、文件、blob 和設置,這些程式碼、實用程式、文件、blob 和設定與基於 Alder Lake 微架構的處理器系統的韌體產生相關,於 2021 年 30 月發布。 已發布代碼的最新更改日期為 2022 年 XNUMX 月 XNUMX 日。
據英特爾稱,這次洩漏是由於第三方的過失造成的,而不是由於該公司基礎設施遭到破壞。 還提到,洩漏的代碼由Project Circuit Breaker 計劃覆蓋,該計劃為識別英特爾韌體和產品中的安全問題提供500 至100000 美元的獎勵(這意味著研究人員可以因報告使用該代碼內容髮現的漏洞而獲得獎勵)洩漏)。
沒有具體說明誰到底是洩漏源(OEM 設備製造商和開發客製化韌體的公司可以使用組裝韌體的工具)。 對已發布檔案內容的分析揭示了一些針對聯想產品的測試和服務(「聯想功能標籤測試資訊」、「聯想字串服務」、「聯想安全套件」、「聯想雲端服務」),但聯想參與了洩漏事件尚未得到證實。 該檔案還揭示了 Insyde Software 公司的實用程式和庫,該公司為 OEM 開發固件,並且 git 日誌包含一封來自 LC Future Center 公司的一名員工的電子郵件,該公司為各種 OEM 生產筆記型電腦。 兩家公司都與聯想合作。
據英特爾稱,公開的程式碼不包含機密資料或任何可能有助於披露新漏洞的組件。 同時,專門研究英特爾平台安全性的 Mark Ermolov 在已發布的檔案信息中發現了有關未記錄的 MSR 寄存器(模型特定寄存器,用於微碼管理、跟踪和調試等)的信息,須遵守保密協定. 此外,在存檔中發現了一個私鑰,用於對韌體進行數位簽名,該私鑰可能用於繞過 Intel Boot Guard 保護(該金鑰的功能尚未確認;這可能是測試金鑰)。
來源: opennet.ru