यह आधिकारिक है – इंटेल एल्डर लेक BIOS के लिए स्रोत कोड लीक हो गया था, और इंटेल ने इसकी पुष्टि की है। BIOS/UEFI स्रोत कोड के निर्माण के लिए उपयोग किए गए कुल 6GB कोड अब जंगली में हैं, जिन्हें GitHub और 4chan पर पोस्ट किया गया है।
इंटेल बहुत चिंतित नहीं है, लेकिन सुरक्षा शोधकर्ता अब यह देखने के लिए कड़ी मेहनत कर रहे हैं कि क्या इसका उपयोग दुर्भावनापूर्ण तरीके से किया जा सकता है। यदि आपके पास एल्डर लेक सीपीयू है , तो क्या आपको चिंतित होना चाहिए?
मुझे विश्वास नहीं हो रहा है: एनडीए-एड एमएसआर, नवीनतम सीपीयू के लिए, क्या अच्छा दिन है… pic.twitter.com/bNitVJlkkL
— मार्क एर्मोलोव (@_markel___) 8 अक्टूबर, 2022
कुछ दिनों पहले लीक की खबर सामने आई जब कोड एक सार्वजनिक गिटहब भंडार में पाया गया, साथ ही साथ 4chan पर साझा किया गया। 6GB फ़ाइल में कुछ उपकरण और कोड होते हैं जिनका उपयोग Intel ने अपने Alder Lake CPU में BIOS/UEFI बनाने के लिए किया है। यह देखते हुए कि ये वर्तमान में कुछ बेहतरीन प्रोसेसर हैं, यह संभावित रूप से इंटेल के बहुत से ग्राहकों को जोखिम में डाल सकता है।
ऑपरेटिंग सिस्टम को लोड होने का मौका मिलने से पहले ही हार्डवेयर को इनिशियलाइज़ करने के लिए BIOS/UEFI सोर्स कोड जिम्मेदार होता है। जैसे, यह कंप्यूटर के भीतर महत्वपूर्ण तंत्र, जैसे कि विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (TPM) के लिए सुरक्षित कनेक्शन स्थापित करने के लिए ज़िम्मेदार है। BIOS किसी भी कंप्यूटर में एक महत्वपूर्ण भूमिका निभाता है, इसलिए यह निश्चित रूप से अच्छा नहीं है कि इसके लिए स्रोत कोड अब नापाक खतरे वाले अभिनेताओं के हाथों में हो सकता है।
प्रारंभ में, यह अनिश्चित था कि क्या लीक हुई फ़ाइल असली सौदा थी, लेकिन इंटेल ने अब खुद ही इस बात की पुष्टि की है। टॉम के हार्डवेयर को जारी एक बयान में, इंटेल ने कहा:
"ऐसा लगता है कि हमारा मालिकाना यूईएफआई कोड किसी तीसरे पक्ष द्वारा लीक किया गया है। हमें विश्वास नहीं है कि यह किसी भी नई सुरक्षा कमजोरियों को उजागर करता है क्योंकि हम सुरक्षा उपाय के रूप में जानकारी के अस्पष्टीकरण पर भरोसा नहीं करते हैं। यह कोड प्रोजेक्ट सर्किट ब्रेकर अभियान के अंतर्गत हमारे बग बाउंटी प्रोग्राम के तहत कवर किया गया है, और हम ऐसे किसी भी शोधकर्ता को प्रोत्साहित करते हैं जो संभावित कमजोरियों की पहचान कर सकता है ताकि उन्हें इस कार्यक्रम के माध्यम से हमारे ध्यान में लाया जा सके। हम ग्राहकों और सुरक्षा अनुसंधान समुदाय दोनों को इस स्थिति से अवगत कराने के लिए संपर्क कर रहे हैं। ”
इंटेल के कथन का तात्पर्य है कि सबसे संवेदनशील डेटा को बाहरी भागीदारों को जारी करने से पहले ही स्रोत कोड से साफ़ कर दिया गया था। स्रोत कोड में लेनोवो के कई संदर्भ हैं, जिनमें "लेनोवो स्ट्रिंग सर्विस," "लेनोवो क्लाउड सर्विस," और "लेनोवो सिक्योर सूट" शामिल हैं। ब्लीपिंग कंप्यूटर नोट करता है कि सभी कोड Insyde Software Corp. द्वारा विकसित किए गए थे।
हालांकि यह रिसाव बहुत बुरा लगता है, इंटेल अत्यधिक चिंतित नहीं लगता है – हालांकि यह अच्छा है कि यह सभी को अपने बग बाउंटी प्रोग्राम के लिए संदर्भित करता है। कई सुरक्षा शोधकर्ता पहले से ही कोड में दरार की तलाश कर रहे हैं, और कुछ निष्कर्ष कम आशावादी हैं।
हार्डवेयर सुरक्षा फर्म हार्डन वॉल्ट ने ब्लीपिंग कंप्यूटर को बताया: "हमलावर / बग शिकारी लीक से बेहद लाभ उठा सकते हैं, भले ही लीक [निर्माता] कार्यान्वयन केवल आंशिक रूप से उत्पादन में उपयोग किया जाता है। इनसाइड का समाधान सुरक्षा शोधकर्ताओं, बग हंटर्स (और हमलावरों) को भेद्यता खोजने और रिवर्स इंजीनियरिंग के परिणाम को आसानी से समझने में मदद कर सकता है, जो उपयोगकर्ताओं के लिए दीर्घकालिक उच्च जोखिम को जोड़ता है। ”
लीक में KeyManifest निजी एन्क्रिप्शन कुंजी पाए जाने के कारण, यह संभव है कि हैकर्स इसका उपयोग Intel की हार्डवेयर सुरक्षा को बायपास करने के लिए कर सकते हैं। फिर भी, यह अभी भी काफी लंबा शॉट है, इसलिए आपको शायद ज्यादा चिंतित होने की जरूरत नहीं है।
किसी भी मामले में, यह सुनिश्चित करने के लिए कुछ एंटीवायरस सॉफ़्टवेयर के साथ स्वयं को सुरक्षित रखने के लायक है कि कोई भी हमलावर आपके कंप्यूटर तक नहीं पहुंच सकता है, और बाद में, BIOS।