中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

南方財經(jīng)全媒體 記者吳立洋 實習生呂佳 北京報道

近日，一個指向GitHub存儲庫的網(wǎng)絡(luò)鏈接在海外社交媒體平臺被廣泛傳播，鏈接內(nèi)容是名為“LCCFCASD”的用戶上傳的“ICE_TEA_BIOS”文件（該文件目前已無法訪問）。據(jù)稱，這是英特爾Alder Lake的UEFI（可擴展固件接口）源代碼，最早于匿名論壇4chan上被公開。

據(jù)了解，Alder Lake 應(yīng)用于英特爾第12代酷睿處理器，于2021年11月對外發(fā)布，在第11代的基礎(chǔ)上，本代產(chǎn)品由14nm制程升級到10nm工藝，升級了核顯。而本次發(fā)生泄露事件的Alder Lake架構(gòu)也是在本代被引入，使得第12代酷睿處理器得以采用性能核與能效核大小核混合的設(shè)計。

從4chan公布的內(nèi)容看，本次泄露的數(shù)據(jù)包括源代碼、私鑰、修改日志、編譯工具等，總大小5.97GB，最近更新的時間戳為2022年9月30日。

據(jù)媒體報道，相關(guān)源代碼均由UEFI固件開發(fā)公司Insyde Software Corp開發(fā)，其中還包含對聯(lián)想相關(guān)代碼的大量引用，包括“聯(lián)想字符串服務(wù)”、“聯(lián)想安全套件”和“聯(lián)想云服務(wù)”集成的代碼。至于該代碼是被黑客竊取還是內(nèi)部人員復制數(shù)據(jù)導致泄露，目前尚無定論。

對此，10月9日英特爾證實稱，其第十二代酷睿處理器Alder Lake 的UEFI BIOS 源代碼確已泄露。

英特爾方面表示：“我們的專有 UEFI 代碼似乎已被第三方泄露，但我們并不認為這會暴露任何新的安全漏洞。此代碼包含在我們的漏洞賞金計劃Project Circuit Breaker活動中，我們希望如果有發(fā)現(xiàn)潛在漏洞的研究人員可以通過此計劃與我們聯(lián)系反饋，我們也正在與客戶和安全研究社區(qū)聯(lián)絡(luò)溝通此次事件情況”。

盡管英特爾方面表示此次源代碼泄露事件不意味著會暴露任何新的安全漏洞，但仍然有不少業(yè)內(nèi)人士對此表示了擔憂。

硬件安全公司Hardened Vault表示，即使被泄露的代碼只部分用于生產(chǎn)中，黑客也能從中找出破綻，并且輕松進行逆向工程，如此以往將長期增加用戶的使用風險。

不過也有業(yè)內(nèi)人士表示，本次源代碼泄露實際影響有限。安恒信息物聯(lián)網(wǎng)安全研究部主任信心在接受南方財經(jīng)全媒體記者采訪時指出，UEFI是在操作系統(tǒng)啟動前運行的一個程序，其漏洞利用程度非常有限，且利用難度和前置條件較為苛刻，除非在一些高度敏感的場合，更多的場景是結(jié)合其他的高危漏洞被利用后再通過UEFI達成持久化植入的效果。

“實際上，UEFI程序是可以直接從搭載相關(guān)處理器的電腦中提取并進行逆向工程分析的，因此本次程序代碼的泄露并不會產(chǎn)生額外的安全后果。”信心表示，其主要的影響是大幅縮短了漏洞挖掘的前置時間，而且客觀上會吸引更多人對該項目進行漏洞挖掘。

但值得注意的是，本次泄露的內(nèi)容中包括一個用于保護英特爾 Boot Guard 平臺的私鑰。網(wǎng)絡(luò)安全公司Positive Technologies硬件研究員 Mark Ermolov 表示，黑客很可能會利用它來修改英特爾固件中的啟動策略并繞過硬件安全防護，因此英特爾Boot Guard平臺上的防衛(wèi)機制可能就此失效。

對此，信心認為相關(guān)廠商需要及時跟進英特爾、主板生產(chǎn)制造商的安全公告和安全更新，快速修復漏洞，對于一些高敏感的行業(yè)，可以將UEFI/BIOS更新納入一般IT系統(tǒng)運維的檢查項之一。極端情況下，可以在操作系統(tǒng)開機后再接入網(wǎng)線、U盤等外設(shè)，避免UEFI直接暴露攻擊面。

正如部分網(wǎng)友在本次泄露事件下的評論，“4chan的黑客又回來了”。事實上，本次英特爾源代碼泄露事件并非首次，同樣的黑客攻擊事件已經(jīng)發(fā)生多次。

去年8月，AMD、英特爾、英偉達等多家企業(yè)的合作伙伴Gigabyte發(fā)生嚴重數(shù)據(jù)泄露，黑客竊取了112GB的敏感數(shù)據(jù)并對Gigabyte進行勒索。據(jù)稱，泄露的兩部分檔案包含了Gigabyte公司內(nèi)部信息，以及英特爾和AMD的專有數(shù)據(jù)，包括英特爾可管理性指揮的源代碼和大量與AMD相關(guān)的機密文件。

而在今年年初，英偉達也同樣遭受黑客攻擊，導致其1TB的數(shù)據(jù)被盜。黑客組織聲稱，他們竊取了大量硬件原理圖和軟件源代碼，其中包括彼時英偉達尚未發(fā)布的RTX 3090 Ti旗艦顯卡。

除此之外，多家企業(yè)都在今年發(fā)生過源代碼泄露事件。前不久，豐田的T-Connect服務(wù)的近30萬條客戶信息遭到泄露，事件起因就是T-Connect網(wǎng)站的承包商將部分源代碼公開上傳到網(wǎng)絡(luò)；著名游戲開發(fā)商Rockstar上個月發(fā)生數(shù)據(jù)泄露，其代表系列產(chǎn)品續(xù)作《GTA 6》尚在開發(fā)中的內(nèi)容和源代碼被竊取和泄露；而對英偉達實施攻擊Lapsus$黑客組織也在年初入侵微軟 Azure DevOps 服務(wù)器，掌握了 Bing、Cortana 及各種內(nèi)部項目的源代碼。

屢禁不止的源代碼泄露事件給軟件行業(yè)敲響了一個警鐘，如何在做好自身開發(fā)的同時更好地保護用戶隱私、提升系統(tǒng)安全意識似乎成為未來軟件開發(fā)行業(yè)需要著力研究的課題。

信心表示，由于公開釋放源代碼現(xiàn)在已成為網(wǎng)絡(luò)勒索的主要條件之一，勒索黑客針對相關(guān)數(shù)據(jù)的攻擊行為愈加頻繁，安全威脅進一步加大，企業(yè)需要強化防火墻、采用云桌面、部署泄露感知系統(tǒng)等方式加以防范；在網(wǎng)絡(luò)安全形勢愈加復雜的情況下，部分企業(yè)仍然存在開發(fā)員工對源碼管理不當?shù)那闆r，需要加強安全培訓，在發(fā)現(xiàn)泄露時及時聯(lián)系相關(guān)平臺請求刪除。