开源意识流

观点与事件:科技、开源、商业化

Intel固件代码泄漏


By Forsaken

最近一份 Alder Lake 的 UEFI 的固件代码在 GitHub 上泄漏,Intel 已经确认了这次事件


Alder Lake 是 Intel 第 12 代 CPU,于 2021 年底发布。UEFI 属于上一代固件,它缺乏足够的安全加固特性,而下一代固件则堵上了这类缺陷。这就意味着,UEFI 固件代码的泄漏,很可能导致严重的大范围安全攻击。

也许一些人会有疑问:代码泄漏不就类似于开源吗?开源了不好吗?不是更安全吗?

首先,代码泄漏是被动事件,相关的评审和安全措施很可能来不及完成。其次,开源好不好关键看开源策略以及相关的社区配套措施,同时也包括下游厂商在生产环境的配合以及节奏。代码泄漏很可能导致厂商很多敏感参考信息无意中泄漏,而缺乏相关配套的保护,从而导致更严重的安全隐患。最后开源跟安全不能划等号,开源只是更加有利于代码审计,然而被动泄漏不能保证及时的代码审计。

安全厂商赛博堡垒认为,攻击者很可能极大程度上利用这份泄漏代码,即便 OEM 厂商的实现仅仅用了其中一部分。

一个容易让人忽略的关键问题是,虽然这次泄漏的主角是联想,但是 Insyde 的固件同样用于其它品牌(比如宏基),而最关键之处在于 Insyde 的整体方案当中,Intel 原厂提供的参考实现是作用于所有 X86 平台。所以这次泄漏,实际上是给所有 X86 用户(无一例外)埋了一颗 TNT 级别的定时炸弹。

还有一点就是,Intel 原厂的参考实现的代码质量已经远远高于大部份其他厂商......