Abo
  • Services:
Anzeige
UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI: Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Anzeige

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.

eye home zur Startseite
Kommentarübersicht
Re: jammerschade
Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

Re: Einfach noch nicht ausgereift!
eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

Re: Golem bekommt kalte Füße und löscht Postings...
SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Re: "Secure"Boot
Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

Re: Hier die Links
redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...

Anzeige
Stellenmarkt
  1. ARRK ENGINEERING, München
  2. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  3. Rohde & Schwarz Cybersecurity GmbH, München, Köln oder Berlin
  4. Wirecard Communication Services GmbH, Leipzig
Anzeige
Hardware-Angebote
  1. 139€
  2. bei Caseking
  3. ab 649,90€
Folgen Sie uns
       
Videos
Roboterkampf Megabots vs Kuratas Roboterkampf Megabots vs Kuratas
Ticker
  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Elektroauto
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter
Secure Socket Layer
Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind
Zotac
Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner
Forumsbeiträge »
  1. Datenrate Kunden wollen schnelle Internetzugänge

    Re: Versprochene Leistungen sollte eingehalten werden

    SpitzBube | 22:51

  2. Kabelnetz Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

    Re: "da es ein shared Medium sei"

    ermic | 22:44

  3. Kabelnetz Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

    Re: Kosten ...

    Sharra | 22:39

  4. Kabelnetz Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

    Re: Koaxial steht der Glasfaser in kaum etwas nach

    ziegenberg | 22:34

  5. GPD Pocket im Test Winziger Laptop für Wenigtipper

    Re: Warum zum Teufel wird jeder Laptop mit einem...

    ElTentakel | 22:29

Ticker »
  1. U-Bahn Telefónica baut BTS-Hotels im Berliner Untergrund

    19:09

  2. Kabelnetz Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

    17:40

  3. Virtuelle Güter Activision patentiert Förderung von Mikrotransaktionen

    17:02

  4. Nervana Neural Network Processor Intels KI-Chip erscheint Ende 2017

    16:35

  5. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

    15:53

  6. The Evil Within 2 im Test Überleben in der Horror-Matrix

    15:00

  7. S410 Getacs modulares Outdoor-Notebook bekommt neue CPUs

    14:31

  8. Smartphone Qualcomm zeigt 5G-Referenz-Gerät

    14:16

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel