Intel confirma la filtración del código UEFI de Alder Lake

intel-alder-lake

El código de hardware BIOS para los procesadores Intel Alder Lake fue publicado en 4chan

Hace pocos días en la red se había dado a conocer la noticia sobre la filtración del código UFEI de Alder Lake de Intel en 4chan y que posteriormente se publicó una copia en GitHub.

Sobre el caso Intel, no se postuló al instante, pero ahora ya ha confirmado la autenticidad de los códigos fuente del firmware UEFI y BIOS publicados por una persona desconocida en GitHub. En total, se publicaron 5,8 GB de código, utilidades, documentación, blobs y configuraciones relacionadas con la formación de firmware para sistemas con procesadores basados ​​en la microarquitectura Alder Lake, lanzados en noviembre de 2021.

Intel menciona que los archivos relacionados están en circulación desde hace unos días y como tal la noticia está siendo confirmada directamente de Intel, que menciona que desea señalar que el asunto no implica nuevos riesgos para la seguridad de los chips y de los sistemas en los que se utilizan, por lo que hace un llamado a no alarmarse sobre el caso.

Según Intel, la filtración ocurrió por culpa de un tercero y no como resultado de un compromiso en la infraestructura de la empresa.

«Nuestro código UEFI patentado parece haber sido filtrado por un tercero. No creemos que esto exponga nuevas vulnerabilidades de seguridad, ya que no confiamos en la ofuscación de la información como medida de seguridad. Este código está cubierto por nuestro programa de recompensas por errores dentro del Project Circuit Breaker , y alentamos a cualquier investigador que pueda identificar vulnerabilidades potenciales a llamar nuestra atención a través de este programa. Nos estamos acercando tanto a los clientes como a la comunidad de investigación de seguridad para mantenerlos informados sobre esta situación». — Portavoz de Intel.

Como tal no se especifica quién se convirtió exactamente en la fuente de la fuga (ya que por ejemplo los fabricantes de equipos OEM y las empresas que desarrollan firmware personalizado tenían acceso a las herramientas para compilar el firmware).

Sobre el caso, se menciona que el análisis del contenido del archivo publicado reveló algunas pruebas y servicios específicos de los productos Lenovo («Lenovo Feature Tag Test Information», «Lenovo String Service», «Lenovo Secure Suite», «Lenovo Cloud Service»), pero la participación de Lenovo en la fuga de información también reveló utilidades y bibliotecas de Insyde Software, que desarrolla firmware para OEM, y el registro de git contiene un correo electrónico de uno de los empleados de LC Future Center, que produce computadoras portátiles para varios OEM.

Según Intel, el código que entró en acceso abierto no contiene datos confidenciales ni componentes que puedan contribuir a la revelación de nuevas vulnerabilidades. Al mismo tiempo, Mark Yermolov, que se especializa en investigar la seguridad de las plataformas Intel, reveló en el archivo publicado información sobre registros MSR no documentados (registros específicos del modelo, utilizados para la gestión, rastreo y depuración de microcódigos), información sobre la cual cae bajo un no -acuerdo de confidencialidad.

Además, se encontró una clave privada en el archivo, que se usa para firmar digitalmente el firmware, que potencialmente se puede usar para eludir la protección Intel Boot Guard (no se ha confirmado el funcionamiento de la clave, es posible que se trate de una clave de prueba).

También se menciona que el código que entró en acceso abierto cubre el programa Project Circuit Breaker, lo que implica el pago de recompensas que van desde $500 hasta $100,000 por identificar problemas de seguridad en firmware y productos Intel (se entiende que los investigadores pueden recibir recompensas para informar sobre vulnerabilidades descubiertas mediante el uso de los contenidos de la fuga).

“Este código está cubierto por nuestro programa de recompensas por errores dentro de la campaña Project Circuit Breaker, y alentamos a cualquier investigador que pueda identificar vulnerabilidades potenciales a que nos las comunique a través de este programa”, agregó Intel.

Finalmente cabe mencionar que sobre la filtración de los datos el cambio más reciente en el código publicado tiene fecha del 30 de septiembre de 2022, por lo que la información dada a conocer es actualizada.

from Linux Adictos https://ift.tt/1MQCNTw
via IFTTT

Vectis IP intenta cambiar el estado de la licencia de Opus y convoca a un grupo de patentes

Opus Codec

Vectis IP anuncia convocatoria de patentes para el códec Opus

Hace poco se dio a conocer mediante una publicación de blog, que la empresa de gestión de propiedad intelectual Vectis IP ha anunciado el inicio de un grupo de patentes para licenciar tecnologías utilizadas en el códec de audio Opus.

Se menciona que la próxima licencia del conjunto de patentes cubrirá el códec de voz y audio interactivo Opus, según lo definido por el Grupo de Trabajo de Ingeniería de Internet. Los participantes iniciales en el posible grupo de Vectis IP incluyen a Fraunhofer y Dolby.

Sobre Opus

Para quienes desconocen de este codec, deben saber que hace 10 años, Opus fue estandarizado (RFC 6716) por el IETF (Internet Engineering Task Force) como un códec de audio libre de regalías para aplicaciones de Internet y no interfiere con tecnologías propietarias.

Sobre el caso, Vectis IP tiene la intención de cambiar el estado de licencia de patente de este códec y ha comenzado a aceptar solicitudes de empresas que poseen patentes que se superponen con las tecnologías Opus.

“Nos complace actuar como administradores en el desarrollo de este importante grupo de patentes que tiene como objetivo respaldar el acceso eficiente, justo y transparente a cientos de patentes que cubren tecnologías utilizadas en el códec Opus”, dijo Giustino de Sanctis, director ejecutivo de Vectis IP. “Las tasas de regalías razonables de este grupo equilibrarán los intereses tanto de los innovadores del programa como de los fabricantes de dispositivos de usuarios finales cuyos productos se benefician del uso de estas tecnologías patentadas”.

Después de la formación del grupo de patentes, se prevé que la recaudación de regalías se centre en los fabricantes de dispositivos de hardware compatibles con Opus.

Cabe mencionar que la concesión de licencias no afectará las implementaciones de códec abierto, las aplicaciones, los servicios y la distribución de contenido.

Los primeros titulares de patentes en sumarse a la iniciativa fueron Fraunhofer y Dolby. Se espera que en los próximos meses se forme un grupo de más de cien patentes y se solicite a los fabricantes licenciar el uso del códec Opus en sus dispositivos. El importe de las deducciones será de 15-12 céntimos de euro por cada dispositivo.

Cabe señalar que, además del formato Opus, Vectis IP está trabajando simultáneamente en la formación de consorcios de patentes que cubren otras tecnologías relacionadas con la codificación de imágenes y videos, las comunicaciones, el comercio electrónico y las redes informáticas.

El códec Opus se crea combinando las mejores tecnologías del códec CELT de Xiph.org y el códec SILK de código abierto de Skype. Además de Skype y Xiph.Org, empresas como Mozilla, Octasic, Broadcom y Google también participaron en el desarrollo de Opus.

Opus presenta una alta calidad de codificación y una latencia mínima tanto para la compresión de transmisión de audio de alta tasa de bits como para la compresión de voz para aplicaciones de telefonía VoIP con restricciones de ancho de banda.

Anteriormente, Opus fue reconocido como el mejor códec cuando usaba una tasa de bits de 64 Kbit (Opus superó a competidores como Apple HE-AAC, Nero HE-AAC, Vorbis y AAC LC). Las implementaciones de referencia del codificador y decodificador Opus se distribuyen bajo la licencia BSD.

Todas las patentes utilizadas en Opus son otorgadas por las empresas contribuyentes para uso ilimitado sin pago de regalías; las patentes se delegan automáticamente para aplicaciones y productos que utilizan Opus, sin necesidad de aprobación adicional.

No hay restricciones sobre el alcance y la creación de implementaciones alternativas de terceros. Sin embargo, todos los derechos otorgados se revocan en caso de procedimientos de patente que afecten a las tecnologías de Opus contra cualquier usuario de Opus. La actividad de Vectis IP está dirigida a encontrar patentes que se superpongan con Opus, pero que no pertenezcan a las empresas que originalmente estuvieron involucradas en su desarrollo, estandarización y promoción.

Finalmente sobre el caso, puedo mencionar que este movimiento se me hace muy familiar a lo que realizo en su momento QT, pero falta ver el cómo se desarrollara este cambio planeado a futuro, ya que muchos ven este movimiento como algo desperado por rescatar al codec.

Fuente: https://www.vectis.com

from Linux Adictos https://ift.tt/dqWjCN9
via IFTTT

Microsoft Patch Tuesday, October 2022 Edition

Microsoft today released updates to fix at least 85 security holes in its Windows operating systems and related software, including a new zero-day vulnerability in all supported versions of Windows that is being actively exploited. However, noticeably absent from this month’s Patch Tuesday are any updates to address a pair of zero-day flaws being exploited this past month in Microsoft Exchange Server.

The new zero-day flaw– CVE-2022-41033 — is an “elevation of privilege” bug in the Windows COM+ event service, which provides system notifications when users logon or logoff. Microsoft says the flaw is being actively exploited, and that it was reported by an anonymous individual.

“Despite its relatively low score in comparison to other vulnerabilities patched today, this one should be at the top of everyone’s list to quickly patch,” said Kevin Breen, director of cyber threat research at Immersive Labs. “This specific vulnerability is a local privilege escalation, which means that an attacker would already need to have code execution on a host to use this exploit. Privilege escalation vulnerabilities are a common occurrence in almost every security compromise. Attackers will seek to gain SYSTEM or domain-level access in order to disable security tools, grab credentials with tools like Mimkatz and move laterally across the network.

Indeed, Satnam Narang, senior staff research engineer at Tenable, notes that almost half of the security flaws Microsoft patched this week are elevation of privilege bugs.

Some privilege escalation bugs can be particularly scary. One example is CVE-2022-37968, which affects organizations running Kubernetes clusters on Azure and earned a CVSS score of 10.0 — the most severe score possible.

Microsoft says that to exploit this vulnerability an attacker would need to know the randomly generated DNS endpoint for an Azure Arc-enabled Kubernetes cluster. But that may not be such a tall order, says Breen, who notes that a number of free and commercial DNS discovery services now make it easy to find this information on potential targets.

Late last month, Microsoft acknowledged that attackers were exploiting two previously unknown vulnerabilities in Exchange Server. Paired together, the two flaws are known as “ProxyNotShell” and they can be chained to allow remote code execution on Exchange Server systems.

Microsoft said it was expediting work on official patches for the Exchange bugs, and it urged affected customers to enable certain settings to mitigate the threat from the attacks. However, those mitigation steps were soon shown to be ineffective, and Microsoft has been adjusting them on a daily basis nearly each since then.

The lack of Exchange patches leaves a lot of Microsoft customers exposed. Security firm Rapid7 said that as of early September 2022 the company observed more than 190,000 potentially vulnerable instances of Exchange Server exposed to the Internet.

“While Microsoft confirmed the zero-days and issued guidance faster than they have in the past, there are still no patches nearly two weeks out from initial disclosure,” said Caitlin Condon, senior manager of vulnerability research at Rapid7. “Despite high hopes that today’s Patch Tuesday release would contain fixes for the vulnerabilities, Exchange Server is conspicuously missing from the initial list of October 2022 security updates. Microsoft’s recommended rule for blocking known attack patterns has been bypassed multiple times, emphasizing the necessity of a true fix.”

Adobe also released security updates to fix 29 vulnerabilities across a variety of products, including Acrobat and Reader, ColdFusion, Commerce and Magento. Adobe said it is not aware of active attacks against any of these flaws.

For a closer look at the patches released by Microsoft today and indexed by severity and other metrics, check out the always-useful Patch Tuesday roundup from the SANS Internet Storm Center. And it’s not a bad idea to hold off updating for a few days until Microsoft works out any kinks in the updates: AskWoody.com usually has the lowdown on any patches that may be causing problems for Windows users.

As always, please consider backing up your system or at least your important documents and data before applying system updates. And if you run into any problems with these updates, please drop a note about it here in the comments.

from Krebs on Security https://ift.tt/2JjNKCU
via IFTTT