UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Anzeige

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.


Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...

Kommentieren




Anzeige

  1. IT-Anwendungs­betreuer / -Anwendungs­entwickler (m/w) HR-Informationssysteme
    DR. JOHANNES HEIDENHAIN GmbH, Traunreut
  2. IT-Mitarbeiter / innen Technische Servicestationen
    Landeshauptstadt München, München
  3. IT-Administrator/MS Dynamics NAV Systembetreuer (m/w)
    EMK Münzen & Edelmetalle, Erftstadt
  4. IT System- und Anwendungsbetreuer (m/w)
    PETER HAHN GmbH, Winterbach bei Stuttgart

 

Detailsuche


Spiele-Angebote
  1. VORBESTELLBAR: Risen 3 Enhanced Edition (PS4)
    39,99€ (Vorbesteller-Preisgarantie) - Release 21.08.
  2. GRATIS: Ultima 8 Gold Edition
  3. God of War 3 Remastered - [PlayStation 4]
    49,00€ (Release 15. Juli)

 

Weitere Angebote


Folgen Sie uns
       


  1. Berlin E-Prix

    Motoren, die nach Star Wars klingen

  2. Licht

    Indoor-Navigationssystem führt zu Sonderangeboten im Supermarkt

  3. Handmade

    Amazon bereitet Marktplatz für Handgefertigtes vor

  4. BND-Skandal

    EU-Kommissar Oettinger testet Kryptohandy

  5. BND-Affäre

    Keine Frage der Ehre

  6. Sensor ausgetrickst

    So klaut man eine Apple Watch

  7. CD Projekt Red

    The Witcher 3 hat Speicherproblem auf Xbox One

  8. Microsoft

    OneClip soll eine Cloud-Zwischenablage werden

  9. VR-Headset

    Klage gegen Oculus-Rift-Erfinder Palmer Luckey

  10. Salesforce

    55 Milliarden US-Dollar von Microsoft waren zu wenig



Haben wir etwas übersehen?

E-Mail an news@golem.de



Maker Faire Bay Area 2015: Die Lust, zu schaffen und zu zerstören
Maker Faire Bay Area 2015
Die Lust, zu schaffen und zu zerstören
  1. Materialforschung Forscher 3D-drucken Graphen-Aerogel
  2. General Electric Flugzeugtriebwerk erhält Bauteil aus 3D-Drucker
  3. 3D-Drucker im Lieferwagen Amazon will Waren auf dem Weg zum Kunden produzieren

Golem.de-Test mit Kaspersky: So sicher sind Fototerminals und Copyshops
Golem.de-Test mit Kaspersky
So sicher sind Fototerminals und Copyshops
  1. Malware Blackcoffee nutzt Forum für C&C-Vermittlung
  2. United Airlines Mit Bug Bounties um die Welt reisen
  3. Studie Die Smart City ist intelligent, aber angreifbar

Macbook 12 im Test: Einsamer USB-Port sucht passende Partner
Macbook 12 im Test
Einsamer USB-Port sucht passende Partner
  1. Apple Store Apple erhöht Hardwarepreise
  2. Workaround Macbook 12 kann bei Erstinstallation hängen bleiben
  3. Hydradock Elf Ports für das Macbook 12

  1. Re: Optimale Wegstrecke zum Einsammeln der Produkte

    Analysator | 05:15

  2. Re: Besatzungsrecht

    Sharra | 05:05

  3. Re: .com Blase 4.0?

    Tzven | 04:16

  4. Re: Laas vs. Drob Dynamic

    Atzeonacid | 04:09

  5. Re: Die Roaminggebühren sind mir egal

    Sukram71 | 02:58


  1. 21:43

  2. 14:05

  3. 12:45

  4. 10:53

  5. 09:00

  6. 15:05

  7. 14:35

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel