UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Anzeige

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.


Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...

Kommentieren




Anzeige

  1. C++ Software-Entwickler (m/w) Grafische Nutzeroberflächen
    e.solutions GmbH, Erlangen
  2. IT-Administrator/IT-Speziali- st (m/w)
    SKF Lubrication Systems Germany GmbH, Berlin
  3. Software Projektleiter/in im Projekt Video im Bereich Fahrerassistenz
    Robert Bosch GmbH, Leonberg
  4. Softwareentwickler Linux/C++ (m/w)
    INIT GmbH, Karlsruhe

 

Detailsuche


Top-Angebote
  1. TOP-TIPP: Amazon-Gutschein im Wert von 40€ kaufen und 10€ geschenkt bekommen
    (Achtung: Anscheinend sind nicht alle User für die Teilnahme berechtigt)
  2. NEU: 100 EUR Rabatt auf das Samsung Galaxy S6/S6 Edge 128GB
    mit dem Gutscheincode 100S6GB128
  3. MITTWOCH RELEASE: Windows 10 Pro (64 Bit)
    149,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Security

    Apples App Store als Einfallstor für Schadcode

  2. Soziales Netzwerk

    Neuer Anlauf gegen Klarnamenzwang bei Facebook

  3. Soziale Netze

    Google hebt Google+-Zwang bei Youtube auf

  4. Neues Moto G

    Motorola-Smartphone mit Android 5.1 für 230 Euro

  5. Vorratsdatenspeicherung

    Eco protestiert gegen Speicherpläne, Maas verteidigt sie

  6. Copyrightstreit um Happy Birthday

    Aprikose in Warners Hose

  7. Windows 10 im Upgrade-Test

    Der Umstieg von Windows 7 auf 10 lohnt sich!

  8. Nanotechnologie

    Weißer Laser deckt sichtbares Farbspektrum ab

  9. Mutoh MA5000-S1

    3D-Metalldruck per Schweißgerät

  10. IT-Sicherheit

    Fehler in Android könnte Millionen Geräte gefährden



Haben wir etwas übersehen?

E-Mail an news@golem.de



OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

Broadwell-C im Test: Intels Spätzünder auf Speed
Broadwell-C im Test
Intels Spätzünder auf Speed
  1. Core i7-5775C im Kurztest Dank Iris Pro Graphics und EDRAM überraschend flott
  2. Prozessor Intels Broadwell bietet die schnellste integrierte Grafik
  3. Prozessor Intels Broadwell Unlocked wird teuer

Kritik an Dieter Nuhr: Wir alle sind der Shitstorm
Kritik an Dieter Nuhr
Wir alle sind der Shitstorm

  1. ich merke, ...

    jake | 17:15

  2. Re: Verstehe ich nicht.

    andrec | 17:13

  3. Re: Werbeatext? Der Umstieg lohnt sich nicht...

    nolonar | 17:13

  4. Re: Mittwoch wird dann jagt auf den Pinguin gemacht

    Arkarit | 17:12

  5. Re: Wo ist das neue daran?

    non_sense | 17:12


  1. 17:02

  2. 16:39

  3. 16:08

  4. 16:00

  5. 15:28

  6. 13:41

  7. 12:02

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel