Quelle: Intel
Alder Lake Quellcode gerät an die Öffentlichkeit
Rund 6 GB zum UEFI-BIOS-Aufbau der Alder-Lake-Chips wurden per Github-Upload veröffentlicht. Intel gibt jedoch vorerst Entwarnung.
11. Oktober 2022
Wie Intel kürzlich bestätigte, sind dem Chip-Hersteller rund 6 GB interne Daten zum UEFI-BIOS-Aufbau der Prozessorbaureihe Alder Lake abhandengekommen. Die Daten wurde später via Github-Upload veröffentlicht und bergen daher die Gefahr, von Cyberkriminellen ausgenutzt zu werden.
Intel spielt die potentielle Gefahr aber erstmals runter. In einer Stellungnahme gegenüber "Tom's Hardware" verweist der Chip-Hersteller darauf, dass mit dem Leak keine neuen Sicherheitslücken an die Öffentlichkeit getragen wurden. "Unser urheberrechtlich geschützter UEFI-Code wurde offenbar von einer dritten Partei weitergegeben. Wir glauben nicht, dass dies neue Sicherheitslücken aufzeigt, da wir uns nicht auf die Verschleierung von Informationen als Sicherheitsmassnahme verlassen. Dieser Code fällt unter unser Bug Bounty-Programm im Rahmen der Project Circuit Breaker-Kampagne, und wir ermutigen alle Forscher, die potenzielle Schwachstellen identifizieren, uns über dieses Programm darauf aufmerksam zu machen. Wir wenden uns sowohl an Kunden als auch an die Sicherheitsforschungsgemeinschaft, um sie über diese Situation zu informieren."
Doch der Leak birgt durchaus die Gefahr, ausgenutzt zu werden. Veröffentlicht wurden nämlich unter anderem sogenannte Model Specific Registers, über die bestimmten Funktionen in Prozessoren ein- oder ausgeschaltet werden können. Die Reaktivierung bereits abgeschalteter Funktionen könnte beispielsweise als Türöffner für Angreifer dienen, wie "heise.de" schreibt. (rf)
Intel spielt die potentielle Gefahr aber erstmals runter. In einer Stellungnahme gegenüber "Tom's Hardware" verweist der Chip-Hersteller darauf, dass mit dem Leak keine neuen Sicherheitslücken an die Öffentlichkeit getragen wurden. "Unser urheberrechtlich geschützter UEFI-Code wurde offenbar von einer dritten Partei weitergegeben. Wir glauben nicht, dass dies neue Sicherheitslücken aufzeigt, da wir uns nicht auf die Verschleierung von Informationen als Sicherheitsmassnahme verlassen. Dieser Code fällt unter unser Bug Bounty-Programm im Rahmen der Project Circuit Breaker-Kampagne, und wir ermutigen alle Forscher, die potenzielle Schwachstellen identifizieren, uns über dieses Programm darauf aufmerksam zu machen. Wir wenden uns sowohl an Kunden als auch an die Sicherheitsforschungsgemeinschaft, um sie über diese Situation zu informieren."
Doch der Leak birgt durchaus die Gefahr, ausgenutzt zu werden. Veröffentlicht wurden nämlich unter anderem sogenannte Model Specific Registers, über die bestimmten Funktionen in Prozessoren ein- oder ausgeschaltet werden können. Die Reaktivierung bereits abgeschalteter Funktionen könnte beispielsweise als Türöffner für Angreifer dienen, wie "heise.de" schreibt. (rf)
Weitere Artikel zum Thema
ETH-Forschende entdecken schwerwiegende Sicherheitslücke in Intel- und AMD-Chips
13. Juli 2022 - Unter dem Name Retbleed machen ETH-Forschende eine schwerwiegende Sicherheitslücke in Mikroprozessoren der Marktführer Intel und AMD publik. Über den Speicher der Prozessoren lassen sich per Return-Befehle sicherheitskritische Informationen wie Passwörter abgreifen.Project Circuit Breaker: Intel weitet Bug-Bounty-Programm aus
3. Februar 2022 - Mit Project Circuit Breaker will der Chip-Hersteller Intel sein bestehendes Bug-Bounty-Programm ausbauen. Das Ziel ist, Elite-Hacker zusammenzubringen, um Bugs in Firmware, Hypervisoren, GPUs, Chipsätzen und mehr zu finden.Lücke in Intel Software Guard Extensions gefunden
20. Oktober 2021 - Ausgerechnet bei den für sensible Daten gedachten SGX-Enklaven auf Intel-Prozessoren haben Forschende eine Sicherheitslücke entdeckt. Das Problem ist gepatcht, sollte aber dennoch zu denken geben.Artikel kommentieren
