Se filtra el código fuente UEFI de American Megatrends Inc (AMI)

Se filtra el código fuente UEFI de American Megatrends Inc (AMI)

por

Desarrolladores de código malicioso podrían aprovechar las claves de validación UEFI para vulnerar la seguridad de muchos equipos.

Cada vez un número mayor de componentes internos para PC y otros dispositivos incorporan UEFI, remplazo de la BIOS tradicional, por sus inherentes ventajas desde el aspecto de la seguridad, evitando que código malicioso pueda ser cargado mientras el sistema operativo inicia (característica conocida como inicio seguro).

UEFI ha desatado cierta controversia entre los desarrolladores de sistema operativos no-Windows por los inconvenientes que puede ocasionar en algunas configuraciones hardware/software de algunos usuarios.

Aunque como toda medida de seguridad, UEFI dista mucho de ser perfecta, por lo que algunos desarrolladores de código malicioso han ideado algunas formas de vulnerar a inicio seguro de UEFI, y ahora constituyen en una amenaza mayor, pues se ha filtrado el código fuente de UEFI y la llave de validación UEFI de American Megatrends Inc (AMI) para las tarjetas madre compatibles con los microprocesadores Intel Core de tercera generación “Ivy Bridge”.

Al parecer el código fuente UEFI genérico se filtró por un descuido de un fabricante de tarjetas madre (se cree que fue Jetway, aunque AMI no ha revelado la procedencia del código fuente), el cual por error lo puso disponible por breves instantes en su servidor FTP público, ocasionando que el código fuente sea republicado en muchas webs, permitiendo a los desarrolladores de código malicioso idear nuevas formas de vulnerar la seguridad de los equipos con UEFI AMI.

AMI tranquiliza a los usuarios de tarjetas madre con UEFI AMI, aclarando que la clave de validación UEFI filtrada tiene poco valor práctico para los desarrolladores de código malicioso, pues no contiene las claves de validación específicas para cada uno de los distintos modelos de tarjetas madre desarrolladas por sus socios.

Link: AMIBIOS Source Code and AMI’s UEFI Signing Key Leaked  (TechPowerUp)

También pueden comentar en nuestro foro.