AMI: Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Artikel veröffentlicht am ,
UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Stellenmarkt
  1. Web-Entwicklerin/Web-Entwick- ler (m/w/d)
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln
  2. IT-Infrastruktur Architekt für IT-Security Umgebung (m/w/d)
    Soluvia IT-Services GmbH, Mannheim, Kiel, Offenbach am Main
Detailsuche

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
AMID
Sicherheitsprüfung für Amazon Machine Images
American Megatrends verkauft RAID-Geschäft an LSI Logic
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
Meistgelesen
artikel-bild
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW
artikel-bild
City M 2.0
Strøm baut minimalistisches Pendler-E-Bike
artikel-bild
Agile Softwareentwicklung
Einfach mal so drauflos programmiert?
Kommentarübersicht
Re: jammerschade
Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

Re: Einfach noch nicht ausgereift!
eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

Re: Golem bekommt kalte Füße und löscht Postings...
SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Re: "Secure"Boot
Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

Aktuell auf der Startseite von Golem.de
Nahverkehr für 9 Euro
Das 2,5-Milliarden-Euro-Ticket

Für 9 Euro durch ganz Deutschland - was für die ÖPNV-Reisenden wie ein guter Deal klingt, hat für die Verkehrsunternehmen ein paar Haken.
Ein Bericht von Martin Wolf

Nahverkehr für 9 Euro: Das 2,5-Milliarden-Euro-Ticket
Artikel
  1. MX Master 3S: Logitech überarbeitet seine Oberklasse-Maus
    MX Master 3S
    Logitech überarbeitet seine Oberklasse-Maus

    Die neue MX Master 3S hat leiser arbeitende Tasten als das Vorgängermodell und Logitech hat in die neue Maus einen Sensor mit 8.000 dpi eingebaut.

  2. Activision Blizzard: Erste Arbeitnehmervertretung in großem US-Spielestudio
    Activision Blizzard
    Erste Arbeitnehmervertretung in großem US-Spielestudio

    Nach monatenlangem Kampf - spürbar durch Bugs in Call of Duty - hat die QA-Abteilung von Raven Software eine Arbeitnehmervertertung gewählt.

  3. Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
    "Macht mich einfach wahnsinnig"
    Kelber beklagt digitale Inkompetenz von VW

    Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Cyber Week: Alle Deals freigeschaltet • Samsung schenkt 19% MwSt.[Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /