中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

南方財(cái)經(jīng)全媒體 記者吳立洋 實(shí)習(xí)生呂佳 北京報(bào)道

近日，一個(gè)指向GitHub存儲(chǔ)庫(kù)的網(wǎng)絡(luò)鏈接在海外社交媒體平臺(tái)被廣泛傳播，鏈接內(nèi)容是名為“LCCFCASD”的用戶上傳的“ICE_TEA_BIOS”文件（該文件目前已無(wú)法訪問(wèn)）。據(jù)稱，這是英特爾Alder Lake的UEFI（可擴(kuò)展固件接口）源代碼，最早于匿名論壇4chan上被公開(kāi)。

據(jù)了解，Alder Lake 應(yīng)用于英特爾第12代酷睿處理器，于2021年11月對(duì)外發(fā)布，在第11代的基礎(chǔ)上，本代產(chǎn)品由14nm制程升級(jí)到10nm工藝，升級(jí)了核顯。而本次發(fā)生泄露事件的Alder Lake架構(gòu)也是在本代被引入，使得第12代酷睿處理器得以采用性能核與能效核大小核混合的設(shè)計(jì)。

從4chan公布的內(nèi)容看，本次泄露的數(shù)據(jù)包括源代碼、私鑰、修改日志、編譯工具等，總大小5.97GB，最近更新的時(shí)間戳為2022年9月30日。

據(jù)媒體報(bào)道，相關(guān)源代碼均由UEFI固件開(kāi)發(fā)公司Insyde Software Corp開(kāi)發(fā)，其中還包含對(duì)聯(lián)想相關(guān)代碼的大量引用，包括“聯(lián)想字符串服務(wù)”、“聯(lián)想安全套件”和“聯(lián)想云服務(wù)”集成的代碼。至于該代碼是被黑客竊取還是內(nèi)部人員復(fù)制數(shù)據(jù)導(dǎo)致泄露，目前尚無(wú)定論。

對(duì)此，10月9日英特爾證實(shí)稱，其第十二代酷睿處理器Alder Lake 的UEFI BIOS 源代碼確已泄露。

英特爾方面表示：“我們的專有 UEFI 代碼似乎已被第三方泄露，但我們并不認(rèn)為這會(huì)暴露任何新的安全漏洞。此代碼包含在我們的漏洞賞金計(jì)劃Project Circuit Breaker活動(dòng)中，我們希望如果有發(fā)現(xiàn)潛在漏洞的研究人員可以通過(guò)此計(jì)劃與我們聯(lián)系反饋，我們也正在與客戶和安全研究社區(qū)聯(lián)絡(luò)溝通此次事件情況”。

盡管英特爾方面表示此次源代碼泄露事件不意味著會(huì)暴露任何新的安全漏洞，但仍然有不少業(yè)內(nèi)人士對(duì)此表示了擔(dān)憂。

硬件安全公司Hardened Vault表示，即使被泄露的代碼只部分用于生產(chǎn)中，黑客也能從中找出破綻，并且輕松進(jìn)行逆向工程，如此以往將長(zhǎng)期增加用戶的使用風(fēng)險(xiǎn)。

不過(guò)也有業(yè)內(nèi)人士表示，本次源代碼泄露實(shí)際影響有限。安恒信息物聯(lián)網(wǎng)安全研究部主任信心在接受南方財(cái)經(jīng)全媒體記者采訪時(shí)指出，UEFI是在操作系統(tǒng)啟動(dòng)前運(yùn)行的一個(gè)程序，其漏洞利用程度非常有限，且利用難度和前置條件較為苛刻，除非在一些高度敏感的場(chǎng)合，更多的場(chǎng)景是結(jié)合其他的高危漏洞被利用后再通過(guò)UEFI達(dá)成持久化植入的效果。

“實(shí)際上，UEFI程序是可以直接從搭載相關(guān)處理器的電腦中提取并進(jìn)行逆向工程分析的，因此本次程序代碼的泄露并不會(huì)產(chǎn)生額外的安全后果?！毙判谋硎?，其主要的影響是大幅縮短了漏洞挖掘的前置時(shí)間，而且客觀上會(huì)吸引更多人對(duì)該項(xiàng)目進(jìn)行漏洞挖掘。

但值得注意的是，本次泄露的內(nèi)容中包括一個(gè)用于保護(hù)英特爾 Boot Guard 平臺(tái)的私鑰。網(wǎng)絡(luò)安全公司Positive Technologies硬件研究員 Mark Ermolov 表示，黑客很可能會(huì)利用它來(lái)修改英特爾固件中的啟動(dòng)策略并繞過(guò)硬件安全防護(hù)，因此英特爾Boot Guard平臺(tái)上的防衛(wèi)機(jī)制可能就此失效。

對(duì)此，信心認(rèn)為相關(guān)廠商需要及時(shí)跟進(jìn)英特爾、主板生產(chǎn)制造商的安全公告和安全更新，快速修復(fù)漏洞，對(duì)于一些高敏感的行業(yè)，可以將UEFI/BIOS更新納入一般IT系統(tǒng)運(yùn)維的檢查項(xiàng)之一。極端情況下，可以在操作系統(tǒng)開(kāi)機(jī)后再接入網(wǎng)線、U盤(pán)等外設(shè)，避免UEFI直接暴露攻擊面。

正如部分網(wǎng)友在本次泄露事件下的評(píng)論，“4chan的黑客又回來(lái)了”。事實(shí)上，本次英特爾源代碼泄露事件并非首次，同樣的黑客攻擊事件已經(jīng)發(fā)生多次。

去年8月，AMD、英特爾、英偉達(dá)等多家企業(yè)的合作伙伴Gigabyte發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露，黑客竊取了112GB的敏感數(shù)據(jù)并對(duì)Gigabyte進(jìn)行勒索。據(jù)稱，泄露的兩部分檔案包含了Gigabyte公司內(nèi)部信息，以及英特爾和AMD的專有數(shù)據(jù)，包括英特爾可管理性指揮的源代碼和大量與AMD相關(guān)的機(jī)密文件。

而在今年年初，英偉達(dá)也同樣遭受黑客攻擊，導(dǎo)致其1TB的數(shù)據(jù)被盜。黑客組織聲稱，他們竊取了大量硬件原理圖和軟件源代碼，其中包括彼時(shí)英偉達(dá)尚未發(fā)布的RTX 3090 Ti旗艦顯卡。

除此之外，多家企業(yè)都在今年發(fā)生過(guò)源代碼泄露事件。前不久，豐田的T-Connect服務(wù)的近30萬(wàn)條客戶信息遭到泄露，事件起因就是T-Connect網(wǎng)站的承包商將部分源代碼公開(kāi)上傳到網(wǎng)絡(luò)；著名游戲開(kāi)發(fā)商Rockstar上個(gè)月發(fā)生數(shù)據(jù)泄露，其代表系列產(chǎn)品續(xù)作《GTA 6》尚在開(kāi)發(fā)中的內(nèi)容和源代碼被竊取和泄露；而對(duì)英偉達(dá)實(shí)施攻擊Lapsus$黑客組織也在年初入侵微軟 Azure DevOps 服務(wù)器，掌握了 Bing、Cortana 及各種內(nèi)部項(xiàng)目的源代碼。

屢禁不止的源代碼泄露事件給軟件行業(yè)敲響了一個(gè)警鐘，如何在做好自身開(kāi)發(fā)的同時(shí)更好地保護(hù)用戶隱私、提升系統(tǒng)安全意識(shí)似乎成為未來(lái)軟件開(kāi)發(fā)行業(yè)需要著力研究的課題。

信心表示，由于公開(kāi)釋放源代碼現(xiàn)在已成為網(wǎng)絡(luò)勒索的主要條件之一，勒索黑客針對(duì)相關(guān)數(shù)據(jù)的攻擊行為愈加頻繁，安全威脅進(jìn)一步加大，企業(yè)需要強(qiáng)化防火墻、采用云桌面、部署泄露感知系統(tǒng)等方式加以防范；在網(wǎng)絡(luò)安全形勢(shì)愈加復(fù)雜的情況下，部分企業(yè)仍然存在開(kāi)發(fā)員工對(duì)源碼管理不當(dāng)?shù)那闆r，需要加強(qiáng)安全培訓(xùn)，在發(fā)現(xiàn)泄露時(shí)及時(shí)聯(lián)系相關(guān)平臺(tái)請(qǐng)求刪除。