Aprovecha las SuperOfertas de AliExpress. ¡Ver las mejores ofertas!
El código fuente de la BIOS de Alder Lake está disponible en línea, fue descubierto en su totalidad, con un tamaño sin comprimir de 5,9 gigabytes, y la fuente fue posiblemente un proveedor de placas base o un socio de fabricación de Lenovo.
Los usuarios de Twitter creen que el código se originó en 4chan, el commit inicial fue realizado el 30 de septiembre y enviado por un empleado de LC Future Center, una empresa china que posiblemente fabrica ordenadores Lenovo. La firma del empleado estaba incluida en el commit, el código se discute ahora en Internet y puede verse en varias réplicas.
Se han hecho varios descubrimientos intrigantes dentro de los 5,9 GB, las referencias a “Lenovo Feature Tag Test” relacionan la filtración con el fabricante de equipos originales. Otras partes del código hacen referencia a las unidades centrales de procesamiento de AMD, lo que sugiere que el código fue modificado después de salir de Intel. Un investigador ha expresado su preocupación por el hecho de que los MSR no documentados representen una amenaza importante para la seguridad nacional.
Los MSR, que significan “registros específicos del modelo”, son registros únicos a los que sólo puede acceder el código privilegiado. Los vendedores los utilizan para cambiar la configuración de la CPU, como la depuración, el control del rendimiento y determinados tipos de instrucciones.
Tanto Intel como AMD apenas documentan entre la mitad y dos tercios de los MSR que se encuentran en las CPU. Los MSR que no están documentados suelen dar lugar a alternativas que el fabricante de la CPU mantiene en secreto. Los investigadores descubrieron que la capacidad de depuración privilegiada de la CPU K8 de AMD contiene un MSR no documentado. Los MSR mejoran la seguridad general. Antes de la implementación de la mitigación por hardware, tanto Intel como AMD confiaban en los MSR para resolver los problemas de Spectre.
Los investigadores son capaces de construir nuevos vectores de ataque en CPUs existentes manipulando MSRs que no han sido documentados. Es una situación complicada que no es lo que está ocurriendo en el presente, pero es posible. Intel necesita educar a sus consumidores sobre los riesgos potenciales.