有匿名者将疑似英特尔 12 代酷睿Alder Lake BIOS 源代码在网上泄露,英特尔的Alder Lake CPU于去年11月4日发布,2021年,数据包括容量2.8GB的压缩源代码(完整文档5.86GB),据称泄漏来自4chan。据说该代码库非常庞大。英特尔已向知名网站 Tom's Hardware确认了该泄露代码为真.......

电子工程专辑讯 近期,有匿名者将疑似英特尔 12 代酷睿Alder Lake BIOS 源代码在网上泄露,英特尔的Alder Lake CPU于去年11月4日发布,2021年,数据包括容量2.8GB的压缩源代码(完整文档5.86GB),据称泄漏来自4chan。据说该代码库非常庞大。

10月9日,英特尔已向知名网站 Tom's Hardware确认了该泄露代码为真。

英特尔表示,“我们的专有 UEFI 代码似乎已被第三方泄露。但我们不认为这会暴露出任何新的安全漏洞,因为我们不依赖信息混淆作为安全措施。此前,我们的 Project Circuit Breaker 漏洞奖励计划已涵盖了此代码,并鼓励任何可能识别潜在漏洞的研究人员参与这项计划。我们正在联系客户和安全研究社区,让他们了解这种情况。” 

在10月8日,VX-Underground就在Twitter上表示,英特尔第12代Alder Lake的源代码(包括BIOS文件等)在网上泄露。

10月7日,名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接,并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库,该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”,总大小 5.97 GB,包括源代码、私钥、日志和编译工具,最新的时间戳显示是 2022 年 9 月 30 日,可能是黑客或内部人员复制了数据。

泄露的 Alder Lake BIOS 源代码

目前该泄露代码的 GitHub 存储库已被删除,也没有任何勒索的迹象。

其中泄露的源代码包含大量关于联想公司的引用内容,包括联想字符串服务、联想安全套件和联想云服务集成代码。

@SttyK 通过 git 日志还发现了其他一些线索,所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。

这次泄漏的主角是固件供应商 Insyde 的部分开发框架,其框架集成了 Intel 授权的内容。Insyde 作为固件整体方案商会持续开发和集成各平台的支持,此次泄漏的内容是 Insyde 方案的删减版本,仅支持 Alder Lake,泄漏的部分内容:

  • 由 Insyde 提供的完整工具链,用于简化 OEM 厂商的开箱以及 BIOS 镜像调整工作
  • Insyde 的定制框架,其封装了兼容 EDK2 的接口,让 ODM / OEM 厂商更容易集成平台组件比如 Intel FSP
  • Intel 参考实现以及 OEM 的实现,这次泄露事件中的 OEM 主角是 Lenovo 联想
  • Binary blobs:值得注意的是,其中除了各种设备(蓝牙 BLE,WiFi,以太网等)所需要的 binary blobs 外,也包含了三种不同的用于安全特性的 ACM:BiosGuard,BootGuard 以及 TXT

另外,一个值得关注的点是 BootGuard 开箱所用的密钥堆也在泄漏内容中,x86 启动的前半部的 ACM 是由 Intel 签名,后半部则是 OEM 厂商控制。

通过以上信息,尚不清楚泄密者是从哪里获得这些文件的,究竟是由黑客行为引发的,还是英特尔或者其他供应商泄露。

此外,还有其他部分信息指出,提到了AMD的CPU,这表明代码在离开英特尔后被修改了。最令人震惊的是,有一研究人员发现了对未记录的MSR的明确引用,这可能构成重大的安全风险。

MSR(特定型号寄存器)是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项,如启用调试或性能监控的特殊模式,或某些类型的指令等功能。

一款CPU可能有数百个MSR,而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如,研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。

英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明,通过操纵未记录的MSR,有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂,不一定是现在正在发生的事情,但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

此类黑客攻击事件也不是头例,英伟达在2022年初被黑客攻击,一些公司文件和提示未来技术的源代码被泄露出来。AMD则受到勒索软件攻击,价值450GB的数据被盗。板卡厂商技嘉也有112GB的数据泄露,包括英特尔和AMD产品的机密文件被获取。这些信息泄露了所有三个供应商正在开发的下一代GPU和CPU的细节。

本文参考自推特、cnBeta、IT之家、Hacker News等报道

责编:Amy.wu
阅读全文,请先
业界新闻 处理器/DSP 安全与可靠性
您可能感兴趣
传台积电受地震影响,成熟与先进工艺报废晶圆合计高达6万片
中国台湾省嘉义大埔地区发生了一次里氏6.4级的浅层地震,此次地震对台湾省南部的半导体产业造成了显著影响,尤其是台积电位于南科园区的晶圆厂......
谷歌向OpenAI竞争对手Anthropic追加10亿美元投资
谷歌宣布向人工智能初创公司Anthropic追加投资超过10亿美元,进一步巩固其在人工智能领域的竞争力。Anthropic的估值因谷歌的持续投资而水涨船高。该公司估值已达到约600亿美元......
SK海力士发布2024财年及第四季度财务报告
SK海力士今日发布截至2024年12月31日的2024财年及第四季度财务报告,创下了有史以来最佳年度业绩。
软银、OpenAI、甲骨文斥巨资建AI项目“星际之门”,马斯克质疑“没钱”
特朗普提出的“星际之门”项目,旨在通过OpenAI、软银集团和甲骨文公司三方合作,推动美国人工智能技术的发展,并计划在未来四年内投入至少5000亿美元用于建设相关基础设施......
南芯科技拟1.6亿元收购昇生微,加速布局MCU芯片业务
此次收购符合南芯科技的长期战略规划,通过整合昇生微在嵌入式芯片设计上的技术专长和研发团队,南芯科技将强化其在硬件、IP、算法及软件等方面的技术优势……
2024年中国制造“成绩单”新鲜出炉:连续15年规模全球第一! 
工业和信息化部副部长张云明用“稳中有进、创新突破、数字赋能、助企强企” 4个关键词阐述了2024年中国工业和信息化发展情况。
2025年中国PC显示器市场十大洞察
对于未来行业发展的增长趋势、行业特征和渠道特点等方面,IDC 总结并给出了2025年中国PC 显示器市场十大洞察……
中科院微电子所在SRAM存内计算领域取得新进展
该存内计算芯片采用全数字设计,能够保证不同位宽配置下的精确计算。为实现不同位宽配置下的高利用率和高能效,团队提出了一种……
西门子获评IDC MarketScape制造执行系统领导厂商
西门子数字化工业软件在IDC MarketScape发布的《2024 – 2025全球制造执行系统供应商报告》中被评为MES领导厂商,该报告针对制造业的MES软件厂商进行了综合性评估。
Arm发布芯粒系统架构首个公开规范,加速芯片技术演进
Arm宣布其芯粒系统架构 (CSA) 正式推出首个公开规范,进一步推动芯粒技术的标准化,并减少行业的碎片化。
TikTok和YouTube已成为美国18-35岁人群的主要视频平台
美通社消息,根据Omdia最新的消费者调查,TikTok和YouTube已成为美国18-35岁人群的领先视频平台。这些平台的发展速度已经超过了Instagram、Facebook和Netflix,巩固
丰田中国区人事大调整,传两汽合资品牌将迎来融合
近日,据36氪报道,进入2025年,丰田汽车针对中国区业务进行了一系列重要的人事调整。丰田中国已正式任命李晖为首位中国籍总经理。同时,广汽丰田现任总经理藤原宽行将被调任至一汽丰田,担任总经理一职。这一
如何将智驾安全性做到99.99999%
电影《金陵十三钗》剧照上周,一向低调的轻舟智航举办了一场媒体交流会,联合创始人、总裁侯聪和 CTO 李栋等轻舟智航核心成员亲临现场,讲述轻舟智航过去一年的成绩及未来展望。轻舟智航的 2024,成绩斐然
Microchip、ADI、TI...有订货需求找老王!
2022年下半年以来,需求下降,芯片价格跳水,芯片行情趋向寒冷,拼价格、拼服务、拼账期成为常态,持续的低迷之下,芯片人都开始靠省钱过日子。同时,我们发现,行情冷淡的时候,订货、配单、PPV(Purch
谷歌拟2.5亿美元购买部分HTCXR业务
1月23日,HTC宣布与谷歌(Google LLC)签署协议,谷歌将斥资2.5亿美元与HTC达成一项重要交易,部分HTC的XR研发团队成员将加入谷歌。根据协议条款,谷歌将获得HTC非专属的XR知识产权
消息称马斯克是英特尔的潜在买家
上周SemiAccurate 曾报道称,一家神秘公司正在探索全面收购英特尔的可能性。表示有 90% 的把握认为有关英特尔被收购的消息是“真实的”,已从另一位“地位很高的消息人士”处获得了证实。虽然没有
开局一条「狗」,装备全靠打
宇树机器狗今年的 CES 展上,机器人无疑是一大焦点。清洁机器人、工业机器人、医疗机器人、陪伴机器人等引人注目,各大科技公司纷纷展示了机器人在不同场景下的巨大应用潜力。然而,尽管过去几年在大语言模型和
视频教程|VisualStudioCode小技巧:如何将仿真器连接到使用安全ID锁定的RL78设备
本视频演示,如何将仿真器连接到使用安全ID锁定的RL78设备。  00:00:介绍 00:25:调试  00:40:设定安全ID  相关资源: • Visual Studio Code - 如何在安装
赛力斯扭亏为盈,造车新势力分化加剧
近日,赛力斯发布2024 年年度业绩预盈公告,预计 2024 年度实现营业收入1442亿元到1467亿元,同比增长302.32%到309.30%;归属于上市公司股东的净利润预计将达到55亿元至60亿元
三星2025年折叠屏手机阵容曝光,首款三折叠机型即将亮相
据外媒SAMMY FANS报道,三星电子计划在2025年推出四款创新的折叠屏手机,进一步拓展其折叠屏产品系列,包括首款三折叠机型。           据悉,三星将继续更新其Flip和Fold两大折叠