Softwarelæk kan åbne døren for BIOS-hackere

AMI bekræfter, at kildetekst til UEFI BIOS er lækket på nettet, men afviser, at brugernes sikkerhed er truet.

Artikel top billede

Sikkerhedsforskeren Adam Caudill har fundet kildeteksten til UEFI BIOS-firmware og en tilhørende privat krypteringsnøgle fra American Megatrends (AMI) på en åben FTP-server i Taiwan. Denne nøgle kan bruges til at udvikle falske BIOS-opdateringer med malware, som så kan smugles ind på computeren.

AMI har nu udsendt en pressemeddelelse og bekræftet, at UEFI-kildeteksten og den private nøgle er ægte. Men det er en af selskabets partnere og ikke AMI selv, der har lækket koden.

Desuden mener AMI, at sikkerhedstruslen er begrænset. Der er kun tale om en testnøgle, forklarer selskabet, og den bliver normalt skiftet ud med en produktionsnøgle i den færdige BIOS.

Testnøglen er kun beregnet til udviklere, og den lækkede kode samt nøgle burde derfor ikke være en trussel mod brugere med AMIs firmware. Men det kan ikke garanteres, at nogle producenter ikke har brugt testnøgler i deres færdige produkter - stik imod AMI's anbefalinger.

"Sagen er bekymrende, men AMI vil gerne understrege overfor sine kunder og partnere, at det ikke burde være et sikkerheds-problem for dem. Hvis de har fulgt den normale procedure for BIOS-signering, vil sikkerhedsfunktionerne i vores BIOS og signatur-processen fungere som ønsket og være 100 pct. sikker," lyder kommentaren fra AMI-chef Subramonian Shankar.

Men selv hvis nøglerne ikke direkte kan bruges til at smugle skadelig kode ind på computere med UEFI fra AMI, er den lækkede kode alligevel et problem for selskabet. Hackere kan hente og analysere koden og bruge den til at finde svagheder, der kan udnyttes til angreb.

Adam Caudill henviser til, at UEFI-firmware kun sjældent bliver opdateret, og dermed kan der gå lang tid, inden mulige sikkerhedshuller bliver rettet.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse