之前我們報道過英特爾酷睿Alder Lake BIOS的源代碼已在被完整地泄露了，未壓縮版本的容量有5.9GB，它似乎可能是在主板供應(yīng)商工作的人泄露的，也可能是一個PC品牌的制造伙伴意外泄露的。

一些Twitter用戶似乎認(rèn)為該代碼源自4chan。昨天，它進(jìn)被分享到了GitHub，在今天早些時候被撤下之前，有人查看了它的源代碼日志，發(fā)現(xiàn)最初的提交日期是9月30日，作者被標(biāo)記為LC Future Center的一名員工，這是一家可能生產(chǎn)筆記本電腦的公司，該代碼現(xiàn)在依然可以從幾個鏡像中獲得，并在互聯(lián)網(wǎng)上被分享和討論。

分析所有5.9GB的代碼可能需要好幾天時間，但有人已經(jīng)發(fā)現(xiàn)了一些有趣的部分。顯然，有多處提到了"功能標(biāo)簽測試"，進(jìn)一步將泄漏與OEM廠商聯(lián)系起來。其他部分據(jù)稱提到了AMD的CPU，這表明代碼在離開英特爾后被修改了。最令人震驚的是，一名研究人員發(fā)現(xiàn)了對未記錄的MSR的明確引用，這可能構(gòu)成重大的安全風(fēng)險。

MSR（特定型號寄存器）是只有BIOS或操作系統(tǒng)等特權(quán)代碼才能訪問的特殊寄存器。供應(yīng)商使用它們來切換CPU內(nèi)的選項，如啟用調(diào)試或性能監(jiān)控的特殊模式，或某些類型的指令等功能。

一款CPU可能有數(shù)百個MSR，而英特爾和AMD只公布了其中一半到三分之二的文檔。未記錄的MSR通常與CPU制造商希望保密的選項有關(guān)。例如，研究人員發(fā)現(xiàn)AMD K8 CPU內(nèi)的一個未記錄的MSR是為了啟用特權(quán)調(diào)試模式。MSR在安全方面也發(fā)揮著重要作用。英特爾和AMD都使用MSR選項來修補其CPU中在硬件緩解之前的Spectre漏洞。

安全研究人員已經(jīng)表明，通過操縱未記錄的MSR，有可能在現(xiàn)代CPU中創(chuàng)建新的攻擊載體。這可能發(fā)生的情況非常復(fù)雜，不一定是現(xiàn)在正在發(fā)生的事情，但它仍然是一種可能性。應(yīng)由英特爾來澄清情況和對其客戶造成的風(fēng)險。

（舉報）