UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Anzeige

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.


Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...

Kommentieren




Anzeige

  1. IT Consultant (m/w)
    Olympus Europa SE & Co. KG, Hamburg
  2. Projektkoordinator IT-Systemtechnik (m/w)
    Kassenärztliche Vereinigung Sachsen (KVS), Dresden
  3. SW-Requirements-Manager (m/w)
    Daimler AG, Kirchheim
  4. Referenten im Bereich Reporting (m/w)
    BASF Services Europe GmbH, Berlin

 

Detailsuche


Blu-ray-Angebote
  1. Erbarmungslos (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 28.05.
  2. The Dark Knight (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€
  3. Mystic River (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€ - Release 28.05.

 

Weitere Angebote


Folgen Sie uns
       


  1. Internetballons

    Start von Project Loon rückt näher

  2. Digitale Audio Workstation

    Ardour 4.0 läuft unter Windows

  3. Hydradock

    Elf Ports für das Macbook 12

  4. Ramstein

    USA sollen Drohnenkrieg von Deutschland aus steuern

  5. GTA 5 im Technik-Test

    So sieht eine famose PC-Umsetzung aus

  6. 3D-Drucker

    Makerbot entlässt 20 Prozent seiner Mitarbeiter

  7. Negativauszeichnung

    Lauschende Barbie erhält Big Brother Award

  8. Bemannte Raumfahrt

    Russland will bis 2023 eigene Raumstation bauen

  9. Windows 10 für Smartphones

    Office-Universal-App kommt noch im April

  10. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott



Haben wir etwas übersehen?

E-Mail an news@golem.de



Google Handschrifteingabe im Hands on: App erkennt sogar krakelige Handschriften
Google Handschrifteingabe im Hands on
App erkennt sogar krakelige Handschriften
  1. MTCast für Android Mediathek-Cast-App kehrt nicht in den Play Store zurück
  2. Parkpocket App hilft bei der Parkplatzsuche
  3. Screenpop Neuer Messenger schickt Fotos direkt auf Sperrbildschirm

P8 im Hands On: Huawei setzt auf die Kamera
P8 im Hands On
Huawei setzt auf die Kamera
  1. Huawei P8 Max Riesen-Smartphone mit 6,8-Zoll-Display kostet 550 Euro
  2. Netzwerk und Smartphone Huawei verdient 4,5 Milliarden US-Dollar
  3. Neue Kirin-Prozessoren Nächstes Google Nexus soll von Huawei kommen

Vorratsdatenspeicherung: Das erste Placebo mit Nebenwirkungen
Vorratsdatenspeicherung
Das erste Placebo mit Nebenwirkungen
  1. Überwachung Telekom begrüßt Speicherdauer der Vorratsdatenspeicherung
  2. Vorratsdatenspeicherung Regierung will Verkehrsdaten zehn Wochen lang speichern
  3. Asyl für Snowden Bundesregierung bestreitet Drohungen der USA

  1. Re: Folgende Frage wird im Artikel nicht beantwortet

    Garius | 19:29

  2. Re: Gibt es GTA5 auch auf Deutsch?

    Garius | 19:24

  3. Kein Thema. Die Bundeswehr kriegt ja auch welche

    Sharra | 19:24

  4. Re: In Deutschland: ICE mit 80kmh.

    crayven | 19:19

  5. Re: gemischte Gefühle

    OdinX | 19:18


  1. 17:54

  2. 16:33

  3. 15:56

  4. 13:37

  5. 12:00

  6. 11:05

  7. 22:59

  8. 15:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel