Vorige week plaatste een gebruiker op Twitter links naar de vermeende broncode van de UEFI-firmware van de Alder Lake CPU's. De link leidt naar een GitHub-repository genaamd 'ICE_TEA_BIOS', dat is geüpload door de gebruiker 'LCFCASD'. De omschrijving van de repository luidt: 'De BIOS Code van project C970'. De links werden opgemerkt en onderzocht door techsites Tom's Hardware en Bleeping Computer.

Het lek omvat in totaal 5,97 GB aan data. Het gaat daarbij onder meer om broncode, private sleutels, change logs en compilatietools. De herkomst van de data is onduidelijk. Deze kan zijn gestolen door een aanvaller, maar ook zijn gelekt door een medewerker. De data lijkt op 30 september te zijn gekopieerd door de actor.

Authentiek

Intel bevestigt ondertussen dat de broncode authentiek is. 'Onze eigen UEFI-code lijkt te zijn gelekt door een derde partij', meldt het bedrijf aan Tom's Hardware. 'We geloven niet dat dit nieuwe beveiligingsproblemen blootlegt, aangezien we niet vertrouwen op het geheimhouden van informatie als beveiligingsmaatregel. Deze code valt onder ons bug bounty-programma binnen de Project Circuit Breaker-campagne, en we moedigen alle onderzoekers die mogelijke kwetsbaarheden identificeren aan om hen via dit programma onder onze aandacht te brengen. We nemen contact op met zowel klanten als de gemeenschap van beveiligingsonderzoek om hen op de hoogte te houden van deze situatie.'

Hoewel Intel dus stelt dat de impact op de veiligheid beperkt is, maken beveiligingsexperts zich wel zorgen over het datalek. Zij vrezen onder meer dat aanvallers kwetsbaarheden kunnen aantreffen in de uitgelekte data.

In samenwerking met Dutch IT Channel

Vorige week plaatste een gebruiker op Twitter links naar de vermeende broncode van de UEFI-firmware van de Alder Lake CPU's. De link leidt naar een GitHub-repository genaamd 'ICE_TEA_BIOS', dat is geüpload door de gebruiker 'LCFCASD'. De omschrijving van de repository luidt: 'De BIOS Code van project C970'. De links werden opgemerkt en onderzocht door techsites Tom's Hardware en Bleeping Computer. Het lek omvat in totaal 5,97 GB aan data. Het gaat daarbij onder meer om broncode, private sleutels, change logs en compilatietools. De herkomst van de data is onduidelijk. Deze kan zijn gestolen door een aanvaller, maar ook zijn gelekt door een medewerker. De data lijkt op 30 september te zijn gekopieerd door de actor.Intel bevestigt ondertussen dat de broncode authentiek is. 'Onze eigen UEFI-code lijkt te zijn gelekt door een derde partij', meldt het bedrijf aan Tom's Hardware. 'We geloven niet dat dit nieuwe beveiligingsproblemen blootlegt, aangezien we niet vertrouwen op het geheimhouden van informatie als beveiligingsmaatregel. Deze code valt onder ons bug bounty-programma binnen de Project Circuit Breaker-campagne, en we moedigen alle onderzoekers die mogelijke kwetsbaarheden identificeren aan om hen via dit programma onder onze aandacht te brengen. We nemen contact op met zowel klanten als de gemeenschap van beveiligingsonderzoek om hen op de hoogte te houden van deze situatie.'Hoewel Intel dus stelt dat de impact op de veiligheid beperkt is, maken beveiligingsexperts zich wel zorgen over het datalek. Zij vrezen onder meer dat aanvallers kwetsbaarheden kunnen aantreffen in de uitgelekte data.In samenwerking met Dutch IT Channel