Abo
  • IT-Karriere:

AMI: Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Artikel veröffentlicht am ,
UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Stellenmarkt
  1. KfW Bankengruppe, Berlin
  2. Bayerische Versorgungskammer, München

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.



Anzeige
Spiele-Angebote
  1. 3,99€
  2. (-50%) 2,50€
  3. (-55%) 4,50€

Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...


Folgen Sie uns
       


Golem-Akademie - Trainer Stefan stellt sich vor

Rund 20 Jahre Erfahrung als Manager und Mitglied der Geschäftsleitung im internationalen Kontext sowie als Berater sind die Basis seiner Trainings. Der Diplom-Ingenieur Stefan Bayer hat als Mitarbeiter der ersten Stunde bei Amazon.de den Servicegedanken in der kompletten Supply Chain in Deutschland entscheidend mitgeprägt und bis zu 4.500 Menschen geführt. Er ist als Trainer und Coach spezialisiert auf die Begleitung von Führungskräften und Management-Teams sowie auf prozessorientierte Trainings.

Golem-Akademie - Trainer Stefan stellt sich vor Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /