Сегодня 24 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Ошибка в прошивке UEFI ставит под угрозу безопасную загрузку Windows, но уже вышло обновление

Исследователи из компании Binarly обнаружили опасную уязвимость в механизме безопасной загрузки (Secure Boot), которая позволяет злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы. Проблема, получившая идентификатор CVE-2025-3052, связана с подписанным UEFI-модулем, используемым для обновления BIOS.

 Источник изображения: Muha Ajjan / Unsplash

Источник изображения: Muha Ajjan / Unsplash

Уязвимость затрагивает модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim (маленький, но важный компонент загрузочного процесса), уязвимый код может выполняться на огромном количестве компьютеров, отмечает HotHardware.

Проблема возникает из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использует её содержимое как указатель памяти без проверки, позволяя атакующему получить контроль над памятью и полностью отключить протокол Secure Boot. Это открывает путь для скрытых буткитов (вредоносные программы, модифицирующие загрузочный сектор), которые работают на уровне прошивки и остаются невидимыми для антивирусов и систем мониторинга.

 Источник изображения: Binarly

Источник изображения: Binarly

По данным Binarly, уязвимость затронула не только один модуль. Microsoft в ходе совместного исследования выявила как минимум 14 проблемных компонентов. Однако всё не так плохо, ибо уже вышло исправление в рамках июньского обновления Patch Tuesday 2025 года, которое включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей.

Специалисты рекомендуют установить последние обновления Windows, поскольку именно через них осуществляется актуализация списка dbx. Без этого хакер, получивший административные права, может отключить Secure Boot и установить вредоносное ПО, удаление которого потребует полного форматирования диска и сброса параметров UEFI.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Глава Google заявил, что он в восторге от партнёрства с OpenAI, но верится в это с трудом 13 мин.
ИИ будет рассматривать обращения россиян в госорганы — Минцифры проведёт эксперимент по внедрению ИИ в госуправление 19 мин.
Стёртые временем письмена прочитает «Эней» — ИИ от Google DeepMind для восстановления древних текстов и их истории 2 ч.
Чёрный юмор, дух оригинальной игры и никакого DEI: анонсирована новая Lollipop Chainsaw и аниме по мотивам 2 ч.
Alphabet отчиталась о взлетевшей на 20 % прибыли, взрывном росте облаков и ИИ 3 ч.
Атака на серверы Microsoft SharePoint может стать крупнейшей кибератакой 2025 года — число пострадавших превысило четыре сотни 4 ч.
Double Fine устроила раздачу Brutal Legend в память об Оззи Осборне — культовая игра стала бесплатной на 666 минут 4 ч.
Apple добавила в iOS 26 фильтры, которые помогут избежать фишинга 4 ч.
Трамп представил план тотального внедрения ИИ во все сферы жизни американцев 15 ч.
YouTube добавил ИИ-инструменты для создания роликов Shorts из фото или текста 15 ч.
Первый в мире двухтонный электролёт допущен к полётам в Китае — он будет перевозить грузы и тушить пожары 11 мин.
G.Skill представила 512-Гбайт комплект оперативной памяти DDR5-6400 для самых мощных Ryzen 34 мин.
Бум ИИ продолжает обогащать SK hynix: выручка подскочила на 35 %, прибыль — на 69 % 45 мин.
«Мегафон» вновь возглавил рейтинг лучших провайдеров мобильного интернета в России в первой половине 2025 года 46 мин.
Google показала всю серию смартфонов Pixel 10 — тройные камеры теперь будут у каждой модели 2 ч.
QNAP выпустила ИИ-ускорители для NAS: QAI-M100 и QAI-U100 2 ч.
Tesla признала, что построила несколько единиц доступного электромобиля — это может быть долгожданная Model 2 3 ч.
«Атомное» охлаждение: Vertiv и Oklo создают комплексную систему питания и охлаждения ЦОД на базе малых модульных реакторов 4 ч.
Выручка Tesla показала сильнейшее падение за годы — Маск пообещал всё исправить выпуском самого доступного электромобиля 4 ч.
США всё же ужесточат контроль за экспортом ИИ-чипов в Китай 5 ч.