Сегодня 15 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Ошибка в прошивке UEFI ставит под угрозу безопасную загрузку Windows, но уже вышло обновление

Исследователи из компании Binarly обнаружили опасную уязвимость в механизме безопасной загрузки (Secure Boot), которая позволяет злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы. Проблема, получившая идентификатор CVE-2025-3052, связана с подписанным UEFI-модулем, используемым для обновления BIOS.

 Источник изображения: Muha Ajjan / Unsplash

Источник изображения: Muha Ajjan / Unsplash

Уязвимость затрагивает модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim (маленький, но важный компонент загрузочного процесса), уязвимый код может выполняться на огромном количестве компьютеров, отмечает HotHardware.

Проблема возникает из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использует её содержимое как указатель памяти без проверки, позволяя атакующему получить контроль над памятью и полностью отключить протокол Secure Boot. Это открывает путь для скрытых буткитов (вредоносные программы, модифицирующие загрузочный сектор), которые работают на уровне прошивки и остаются невидимыми для антивирусов и систем мониторинга.

 Источник изображения: Binarly

Источник изображения: Binarly

По данным Binarly, уязвимость затронула не только один модуль. Microsoft в ходе совместного исследования выявила как минимум 14 проблемных компонентов. Однако всё не так плохо, ибо уже вышло исправление в рамках июньского обновления Patch Tuesday 2025 года, которое включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей.

Специалисты рекомендуют установить последние обновления Windows, поскольку именно через них осуществляется актуализация списка dbx. Без этого хакер, получивший административные права, может отключить Secure Boot и установить вредоносное ПО, удаление которого потребует полного форматирования диска и сброса параметров UEFI.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Атмосфера первых частей, запретная любовь и заявка на успех: новый геймплей и подробности Mafia: The Old Country 56 мин.
MAX от VK назначен национальным мессенджером России 3 ч.
«Она убила бы франшизу»: бывший работник Deep Silver объяснил, почему оригинальная версия Dead Island 2 так и не вышла 3 ч.
Единственная официальная игра по «Джону Уику» скоро исчезнет из продажи 4 ч.
Rockstar неожиданно устроила раздачу ремастера GTA III в App Store — возможно, по ошибке 5 ч.
Количество утечек данных в России снизилось на 15 %, но проблем по-прежнему хватает 6 ч.
«Базис» реализовал 80 улучшений в новой версии платформы виртуализации Basis Dynamix Enterprise 4.3.0 7 ч.
«Радоваться здесь нечему»: новый патч для The Elder Scrolls IV: Oblivion Remastered не впечатлил экспертов Digital Foundry 7 ч.
Google начала тестировать новую панель поиска в Chrome с акцентом на ИИ 9 ч.
Google, OpenAI, xAI и Anthropic получили контракты Пентагона на сумму до $200 млн каждый 9 ч.
Импульс импортозамещения в контрактном производстве электроники в России иссяк — рынок упадёт на 10 % в 2025 году 50 мин.
Чистая победа: Калифорния первой в мире обеспечила себя зелёной энергией на две трети 2 ч.
Итальянская Eni SpA подписала соглашение с Khazna Data Centers для строительства кампуса ИИ ЦОД на 500 МВт 2 ч.
Смартфоны Sony стали исчезать с ключевых рынков — эра Xperia подходит к концу? 3 ч.
SpaceX соберёт команду космических ИИ-программистов — год назад Маск не видел в них необходимости 4 ч.
Китайский грузовик «Тяньчжоу-9» доставил рекордные 6,5 тонн на орбитальную станцию — и это не предел 4 ч.
Samsung отменила конец эпохи стилусов, пообещав возвращение S Pen в улучшенном виде 4 ч.
NVIDIA возобновит поставки ускорителей H20 в Китай 4 ч.
«Сбер» расширил ассортимент QLED-телевизоров Sber моделями на 32 и 43 дюйма 4 ч.
$20 за терабайт: Seagate начала поставки 30-Тбайт жёстких дисков Exos M и IronWolf Pro 4 ч.