近期科技媒体和顶尖安全研究人员的报道表明,人们对UEFI安全漏洞的关注度持续高涨(例如:MoonBounce漏洞、Insyde漏洞)。顺应这一趋势,Binarly的安全研究人员上周在柏林举行的OffensiveCon 2022安全大会上发表了题为“UEFI固件漏洞:过去、现在和未来”的演讲。在演讲的“过去”部分,Binarly提到了AMI提供的UEFI BIOS固件参考源代码中存在的一个固件漏洞。
简而言之,AMI可以自信地声明,演示文稿中描述的漏洞已彻底成为过去——正如演示文稿中所述。AMI早在几年前就已解决并关闭了该安全问题。但是,为了消除我们的合作伙伴、客户或最终用户可能存在的任何疑虑,AMI可以提供以下补充信息:
具体来说,被泄露的代码是什么?
Binarly 的演示文稿引用了 AMI UEFI BIOS 参考代码中的一段,旨在展示 UEFI 固件漏洞的历史和当前案例。文中特别提到了“AMI UsbRT 架构”,并描述了一种针对该架构漏洞的攻击方法。AMI 特此强调,这部分 AMI 源代码距今已有约七年历史,目前已不再用于任何 AMI UEFI 产品中。
AMI 合作伙伴、客户或 AMI UEFI 固件产品的最终用户是否应该有任何疑虑?
AMI特此澄清,此次攻击所涉漏洞已由AMI在数年前修复,不再构成有效的攻击手段。相关代码已不再是AMI产品的一部分,AMI在知悉该漏洞后立即进行了处理和修复。因此,这是一个已解决的旧安全问题,在2022年已不再具有任何意义。所有软件开发商都应注意,任何过去部署的、受安全问题影响的产品,在修复之前仍会面临同样的安全风险。
AMI是否有针对未来可能出现的类似问题的解决方案?
AMI的BIOS和BMC固件产品已部署在全球大多数计算系统中,AMI始终致力于成为固件安全领域的领导者。公司已建立内部产品安全事件响应团队,以快速果断地应对安全问题。该团队通过AMI安全公告和其他沟通渠道,向OEM/ODM客户和整个行业提供建议。这些安全公告能够帮助客户及时采取后续补救措施,包括提供指导和补丁。对于AMI的OEM/ODM客户,请联系您的AMI销售代表,获取最新的安全公告信息。更多详情请访问:https://www.ami.com.cn/security-center/
