IntelのAlder Lake BIOSのソースコードが4chanとGithubに流出し、6GBのファイルにBIOS/UEFIイメージを構築・最適化するためのツールやコードが含まれていたというニュースが報じられているなか、Intelが、リークされたファイルが本物である事を認める声明を発表しています(Tom's Hardware、BleepingComputer)。
Intelは次のように、リークがただちにセキュリティ問題につながる危険性はないとの見方を示しています。
Our proprietary UEFI code appears to have been leaked by a third party. We do not believe this exposes any new security vulnerabilities as we do not rely on obfuscation of information as a security measure. This code is covered under our bug bounty program within the Project Circuit Breaker campaign, and we encourage any researchers who may identify potential vulnerabilities to bring them our attention through this program..
当社独自のUEFIコードが第三者によって流出したようです。当社は、セキュリティ対策として情報の難読化に依存していないため、この件が新たなセキュリティ脆弱性を露呈するとは考えていません。このコードは、Project Circuit Breaker キャンペーン内のバグバウンティプログラムの対象であり、潜在的な脆弱性を発見した研究者は、このプログラムを通じて私たちの注意を喚起することを推奨します。
BIOS/UEFIはオペレーティングシステムが読み込まれる前にハードウェアの初期化を実行し、TPMのようなセキュリティ機構への接続を確立するという役目を担っています。Intelは楽観的にとらえていますが、本物のAlder Lake BIOS/UEFIのコードが流出した以上、悪意のあるハッカーやセキュリティ研究者が、バックドアや脆弱性を探し、精査する事は確実だと見込まれています。
ファイルの流出元はまだ明らかにされていませんが、元々のGitHubリポジトリは、Lenovoを含む複数のOEM向けにノートPCを製造する中国ベースのODM、LC Future Centerの従業員と見られる人物によって作成されていることが分かっているそうです。
