Abo
  • Services:
Anzeige
UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

AMI: Sourcecode von UEFI-Firmware samt privatem Schlüssel im Netz

UEFI-Sourcecode von AMI im Netz
UEFI-Sourcecode von AMI im Netz (Bild: Adam Caudill)

Der Sicherheitsforscher Adam Caudill ist über einen offenen FTP-Server in Taiwan gestolpert, der neben diversen privaten Daten auch den Quellcode von UEFI-Firmware von American Megatrends samt dem privaten Schlüssel zum Signieren enthalten hat.

Unter der Überschrift "Security Done Wrong" berichtet der Sicherheitsforscher Adam Caudill über einen Zufallsfund im Netz: Es handelt sich um einen offenen FTP-Server in Taiwan, auf dem er in einem 'Ivy Bridge' benannten Archiv verschiedene Versionen einer AMI-Firmware fand, zusammen mit dem privaten Schlüssel zum Signieren dieser Firmware.

Anzeige

Mit Hilfe des Firmware-Quellcodes und des privaten Schlüssels sei es für Dritte recht einfach, UEFI-Updates mit Schadroutinen zu erstellen, die sich auf Systemen mit der Originalfirmware korrekt installieren ließen. Da Nutzer eher selten UEFI-Firmware aktualisierten, so Caudill, sei damit zu rechnen, dass die Sicherheitslücke längere Zeit offen bleibe. Entdecken lasse sich solche Schadsoftware kaum.

Der Firmware-Code sei zudem recht aktuell, im Kopf tauche ein Copyright-Hinweis aus dem Jahr 2012 auf. Caudill geht davon aus, dass der Code aus dem Februar stammt.

Caudill hat den Hersteller und den Betreiber des FTP-Servers informiert. Den Namen des Herstellers und die Adresse des FTP-Servers will er nicht nennen.


eye home zur Startseite
Thaodan 08. Apr 2013

Genau das Ding tut mehr als es soll, wenn man mehr will von Haus aus kann man auch ein...

eGeist 08. Apr 2013

Natürlich liest man hier und dort "gefährliches" Halbwissen, aber hättest DU wenigstens...

SaSi 07. Apr 2013

selbstschutz lass ich gelten... user schützen: sorry, geht kompetenter! wenn man schon...

Casandro 07. Apr 2013

Naja, die Idee hinter "Secure" Boot ist, dass niemand das UEFI verändern kann, und dass...

redmord 07. Apr 2013

Das musst du zumindest mir etwas genauer erläutern. In dem zweiten Artikel wird meiner...



Anzeige

Stellenmarkt
  1. Knauf Information Services GmbH, Iphofen (Raum Würzburg)
  2. flexis AG, Stuttgart
  3. über JobLeads GmbH, München
  4. Wolfgang Westarp GmbH, Beckum


Anzeige
Top-Angebote
  1. 28,99€
  2. 189,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  2. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  3. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  4. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  5. Autonomes Fahren

    Der Truck lernt beim Fahren

  6. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  7. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  8. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  9. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  10. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: sehr clever ... MS

    FreiGeistler | 21:45

  2. Demnächst gibt's noch die Viehklasse.

    TC | 21:44

  3. Re: Anscheinend gibt es keine gesetzlichen Vorgaben.

    pampernickel | 21:43

  4. Genau das ist das Problem

    Berner Rösti | 21:41

  5. Re: Halb-OT: Bloß kein handliches Gerät...

    DetlevCM | 21:39


  1. 20:21

  2. 11:57

  3. 09:02

  4. 18:02

  5. 17:43

  6. 16:49

  7. 16:21

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel