UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Anzeige

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.


Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...

Kommentieren




Anzeige

  1. Anwendungsbetreuer SAP Business ByDesign (ByD) (m/w)
    Roland Berger Strategy Consultants GmbH, München
  2. Software-Entwickler (m/w) SAP ABAP / SAP ABAP OO
    AOK Systems GmbH, Frankfurt am Main
  3. PDM Consultant (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Problem Manager Telematik-Endgeräte (m/w)
    Daimler AG, Stuttgart

 

Detailsuche


Blu-ray-Angebote
  1. Prestige - Die Meister der Magie (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ (Release 31.3.)
  2. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ (Release 23.04.)
  3. 2 TV-Serien auf Blu-ray für 30 EUR
    (u. a. Nonstop Nonsens komplette Serie, Boardwalk Empire 3. Staffel, Transporter 1-3, Fringe)

 

Weitere Angebote


Folgen Sie uns
       


  1. MotionX

    Schweizer Uhrenhersteller gegen Apple

  2. Grafikfehler

    Macbook-Reparaturprogramm jetzt auch in Deutschland

  3. Uber

    Taxi-Dienst wächst in Deutschland nicht weiter

  4. Überwachung

    Apple-Chef Tim Cook fordert mehr Schutz der Privatsphäre

  5. Mountain View

    Google baut neuen Unternehmenssitz

  6. Leonard Nimoys Mr. Spock

    Der außerirdische Nerd

  7. Die Woche im Video

    Abenteurer, Adware und ein fixer Anschluss

  8. Nachruf

    Dif-tor heh smusma, Mr. Spock!

  9. Click

    Beliebige Uhrenarmbänder an der Apple Watch nutzen

  10. VLC-Player 2.2.0

    Rotation, Addons-Verwaltung und digitale Kinofilme



Haben wir etwas übersehen?

E-Mail an news@golem.de



Netzwerk: Telekom baut Vectoring parallel zu Glasfaser der Stadtwerke
Netzwerk
Telekom baut Vectoring parallel zu Glasfaser der Stadtwerke
  1. Deutsche Telekom Jede Woche Smartphones zum Schnäppchenpreis
  2. Kündigungsdrohung Telekom verliert Kunden bei All-IP-Zwangsumstellung
  3. Glasfaser Telekom baut ihr Netz parallel zu Stadtwerken aus

Test The Order 1886: Sir Galahad geht in Deckung
Test The Order 1886
Sir Galahad geht in Deckung

Lenovo Tab S8-50F im Test: Uns stinkt's!
Lenovo Tab S8-50F im Test
Uns stinkt's!
  1. Adware Lenovo-Laptops durch Superfish-Adware angreifbar
  2. Lenovo Anypen Auf dem Touchscreen mit beliebigem Stift schreiben
  3. Yoga Tablet 2 mit Windows 8.1 im Test Wie die Android-Variante, aber ein winziges bisschen besser

  1. Re: punkt für apple!

    rabatz | 08:31

  2. Re: Hochkant-Videos...

    JumpLink | 08:28

  3. Re: Ganz toll

    widdermann | 08:28

  4. Re: Neues Patent füe Apple

    Madricks | 08:18

  5. Re: Ich habe es mal versucht

    Madricks | 08:14


  1. 15:24

  2. 14:40

  3. 14:33

  4. 13:41

  5. 11:03

  6. 10:47

  7. 09:01

  8. 19:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel