Исследователи из компании Binarly обнаружили опасную уязвимость в механизме безопасной загрузки (Secure Boot), которая позволяет злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы. Проблема, получившая идентификатор CVE-2025-3052, связана с подписанным UEFI-модулем, используемым для обновления BIOS.

Источник изображения: Muha Ajjan / Unsplash

Уязвимость затрагивает модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011. Поскольку этот сертификат используется в большинстве современных систем, включая загрузчик Linux shim (маленький, но важный компонент загрузочного процесса), уязвимый код может выполняться на огромном количестве компьютеров, отмечает HotHardware.

Проблема возникает из-за некорректной обработки переменной NVRAM с именем IhisiParamBuffer. Модуль использует её содержимое как указатель памяти без проверки, позволяя атакующему получить контроль над памятью и полностью отключить протокол Secure Boot. Это открывает путь для скрытых буткитов (вредоносные программы, модифицирующие загрузочный сектор), которые работают на уровне прошивки и остаются невидимыми для антивирусов и систем мониторинга.

Источник изображения: Binarly

По данным Binarly, уязвимость затронула не только один модуль. Microsoft в ходе совместного исследования выявила как минимум 14 проблемных компонентов. Однако всё не так плохо, ибо уже вышло исправление в рамках июньского обновления Patch Tuesday 2025 года, которое включает обновлённый список отзыва (dbx), блокирующий выполнение опасных модулей.

Специалисты рекомендуют установить последние обновления Windows, поскольку именно через них осуществляется актуализация списка dbx. Без этого хакер, получивший административные права, может отключить Secure Boot и установить вредоносное ПО, удаление которого потребует полного форматирования диска и сброса параметров UEFI.

Asus опубликовала несколько заявлений, связанных с информацией о том, что более 9000 маршрутизаторов её производства подверглись кибератаке, в результате которой на них появились бэкдоры. Компания посоветовала пострадавшим обновить прошивку на роутерах и произвести их сброс к заводским настройкам.

Киберпреступники, заявили в компании, при атаке эксплуатируют известную уязвимость CVE-2023-39780, которая позволяет включать доступ по SSH на порте TCP/53282 и устанавливать подконтрольный злоумышленникам открытый ключ для удалённого доступа. Эту уязвимость Asus закрыла в очередном обновлении прошивки, поэтому всем владельцам маршрутизаторов компания рекомендовала установить обновление ПО. После этого необходимо произвести сброс настроек до заводских и установить надёжный пароль администратора.

Владельцам маршрутизаторов, поддержка которых прекращена, и продвинутым пользователям Asus предложила открыть настройки устройства и «отключить все функции удалённого доступа, в том числе SSH, DDNS, AiCloud или веб-доступ из WAN и убедиться, что SSH (в особенности порт TCP 53282) не открыт из интернета». Ботнет, получивший название AyySSHush, впервые обнаружила специализирующаяся на технологиях безопасности компания GreyNoise. Её эксперты охарактеризовали создателей вредоносной сети как «хорошо обеспеченного ресурсами и очень подготовленного противника», но не стали делать предположений, кто это мог быть. Поисковая система Censys обнаружила более 9500 предположительно заражённых единиц оборудования. Активность ботнета на сегодняшний день оценивается как минимальная — зарегистрированы всего 30 запросов за три месяца.

Всех пользователей, которых мог затронуть инцидент, Asus уведомила push-сообщениями, сообщили в компании ресурсу Tom's Hardware. На сайте производителя появилась подробная информация об уязвимости. Компания также отметила, что начала работать над обновлением прошивок для ряда моделей роутеров, включая RT-AX55, задолго до публикации доклада GreyNoise. Это важно, потому что в сведениях об уязвимости CVE-2023-39780 указано, что Asus была осведомлена о ней ещё до этого доклада.

Обеспокоенным владельцам маршрутизаторов рекомендовали убедиться, что доступ к SSH не открыт для интернета; проверить журнал устройства на предмет повторяющихся сбоев при входе или незнакомых ключей SSH, указывающих на атаку, которая осуществлялась методом подбора. Лишённый надлежащей защиты WAN-доступ к открытому интернету — угроза для оборудования; почти все подвергшиеся взлому роутеры, по версии производителя, работали с крайне уязвимыми настройками по вине пользователей. Во всех случаях имеет смысл перестраховаться и установить последнюю версию прошивки.

Mozilla запустила систему автоматической проверки расширений для Firefox с целью выявления мошеннических плагинов, связанных с криптовалютой. Поскольку многие кошельки и сервисы для работы с токенами распространяются через браузеры, злоумышленники нередко используют их для внедрения вредоносного кода.

Источник изображения: AI

Точные критерии проверки не раскрываются — это сделано для того, чтобы мошенники не смогли обойти алгоритм. Если система обнаружит тревожные признаки, расширение отправляется на ручную модерацию. После анализа модераторы принимают решение о его публикации или отклонении в магазине.

Несмотря на то, что механизмы фильтрации по широкому спектру угроз уже давно работают в браузере, новая система сканирует только плагины, связанные с криптокошельками. Mozilla уже обнаружила сотни попыток проникнуть в официальный репозиторий расширений Firefox на этапе первичной загрузки.

Однако новая система защищает лишь тех, кто скачивает расширения с официального сайта Mozilla. Известно, что мошенники часто заманивают пользователей на сторонние ресурсы, на которых можно скачать модифицированные версии плагинов. Установка из таких источников чревата утечкой приватных ключей и кражей средств с кошельков. Как отмечает PCWorld, даже установка расширений из официальных магазинов, например, Chrome Web Store, не гарантирует 100 % безопасности, но шансы стать мишенью для вредоносного кода в этом случае по крайней мере уменьшаются.

Компания Qualcomm сообщила о трёх критических уязвимостях в своих мобильных процессорах, которые могут использоваться злоумышленниками. Ошибки затрагивают графический ускоритель Adreno и встречаются в чипах Snapdragon 888 (2021), Snapdragon 8 Gen 2 (2022) и Snapdragon 8 Gen 3 (2023). Патчи уже выпущены, но уязвимости, возможно, уже эксплуатируются в целевых атаках.

Источник изображения: Qualcomm

Как сообщает PCMag, информацию об угрозе Qualcomm получила от Google Threat Analysis Group (TAG) — группы, специализирующейся на противодействии хакерам, связанным с государственными структурами. Две уязвимости были обнаружены в январе, третья — в марте. Все они используют графический процессор Adreno в чипах Qualcomm.

Для эксплуатации этих уязвимостей злоумышленникам требуется физический доступ к устройству, что исключает массовые атаки через интернет. Также, судя по всему, эти уязвимости могли использоваться спецслужбами или коммерческими компаниями по взлому конфискованных смартфонов.

Первые две уязвимости (CVE-2025-21479 и CVE-2025-21480) связаны с повреждением памяти в GPU из-за выполнения несанкционированных команд. Третья (CVE-2025-27038) касается ошибки в браузере Chrome, позволяющей обращаться к уже освобождённой памяти. Относительно третьей также известно, что она затрагивает только определённый круг более простых чипов Qualcomm, включая Snapdragon 6 Gen 1, Snapdragon 4 Gen 2 и Snapdragon 680. Из этого следует , что речь идёт не только о флагманских устройствах, но и о бюджетных.

Отмечается, Qualcomm отправила исправления производителям смартфонов ещё в мае, но сроки выпуска обновлений зависят от компаний-разработчиков. Пока нет данных о массовых взломах через эти уязвимости, но их использование в целевых атаках делает установку обновлений критически важной, а пользователям рекомендуется проверить наличие патчей в настройках безопасности своих устройств.

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Компания Intel выпустила новые обновления безопасности, затрагивающие процессоры, видеокарты и игровое программное обеспечение. Среди исправленных проблем — критические дефекты в драйверах GPU, ошибки в микрокоде Core Ultra и одна уязвимость среднего уровня в ПО Endurance Gaming Mode.

Источник изображения: Kandinsky

В официальном сообщении Intel упоминает десять потенциально опасных уязвимостей высокой степени риска, которые могли привести к получению повышенных прав, атакам типа DDoS или утечке конфиденциальных данных. По сообщению TechSpot, проблема затрагивает драйверы графических решений, интегрированных в процессоры с 6-го поколения Core до новейших Core Ultra, включая архитектуру Arrow Lake. Также затронуты дискретные видеокарты Arc и серверные GPU Flex 140/170.

Отдельные обновления микрокода устраняют уязвимости в интерфейсе Integrated Connectivity I/O, которые позволяли злоумышленнику получить повышенные права в системе. Кроме того, две дополнительные уязвимости могли привести к утечке данных — одна (CVE-2025-20012) была обнаружена внутренними специалистами Intel, а вторую (CVE-2025-24495) выявили исследователи из группы VUSec при Амстердамском университете (VU Amsterdam).

Источник изображения: techspot.com

Напомним, Intel традиционно выпускает исправления одновременно с Microsoft в рамках ежемесячного обновления безопасности Patch Tuesday (вторник исправлений), и этот месяц не стал исключением. Серия обновлений предназначена для устранения потенциально опасных ошибок, влияющих как на аппаратные, так и на программные продукты, затрагивающие несколько поколений процессоров, графических чипов и интегрированных решений.

Компания Intel 1 мая 2025 года выпустила обновление микрокода для процессоров серий Raptor Lake и Raptor Lake Refresh после обнаружения новой уязвимости, связанной с ранее известной проблемой Spectre. Исследователи из швейцарского университета ETH Zurich выявили, что ошибка затрагивает процессоры Intel, начиная с поколения Skylake (2018 год).

Обнаруженная уязвимость вновь позволяет злоумышленникам использовать технику инъекций команд ветвления («branch privilege injection») для доступа к защищённой информации, хранящейся в памяти компьютера. В компании Intel сообщили, что выпущенное обновление успешно закрывает эту проблему, однако оно негативно влияет на производительность старых процессоров.

Согласно данным исследователей из ETH Zurich, обновление микрокода замедлит работу процессоров Alder Lake примерно на 2,7 %, Skylake (Coffee Lake Refresh) — на 1,6 %, а наибольшее падение производительности ожидает владельцев чипов 11-го поколения Rocket Lake — на 8,3 %. В Intel при этом подчеркнули, что снижение производительности у большинства моделей останется в пределах естественных колебаний.

В официальном заявлении представители Intel поблагодарили исследователей ETH Zurich за координированное раскрытие уязвимости, уточнив, что на текущий момент неизвестны случаи её реального использования хакерами. Компания также рекомендовала всем пользователям обновить систему через Windows Update или официальные прошивки производителя устройств.

Уязвимости класса Spectre и Meltdown впервые были обнаружены в 2018 году и с тех пор периодически возвращаются, вынуждая производителей процессоров и операционных систем регулярно выпускать исправления. Эти ошибки имеют особое значение для индустрии, так как напрямую влияют на безопасность данных пользователей и требуют постоянного внимания со стороны разработчиков аппаратного и программного обеспечения.

Группа специалистов из Амстердамского свободного университета (Vrije Universiteit Amsterdam) выявила серию уязвимостей Spectre-v2, получивших кодовое название Training Solo. Эти атаки позволяют обходить защитные механизмы процессоров Intel, такие как IBPB и eIBRS, и извлекать данные из памяти ядра со скоростью до 17 Кбайт/с, а из гипервизора со скоростью 8,5 Кбайт/с. Эксплойты уже опубликованы в открытом доступе на GitHub.

Источник изображения: Kandinsky

Как сообщает OpenNET, в основе Spectre-v2 лежит манипуляция предсказанием переходов в процессоре. Злоумышленник заставляет систему спекулятивно выполнять инструкции, оставляя в кеше следы данных, которые затем можно извлечь, анализируя время доступа. Training Solo отличается тем, что вместо запуска своего кода атакующие используют уже существующие фрагменты кода в ядре или гипервизоре, делая, таким образом, атаку более завуалированной.

Источник изображения: opennet.ru

Исследователи описали три варианта реализации атак Training Solo. Первый способ заключается в использовании SECCOMP для подмены BPF-фильтров и создания ложных переходов (скорость утечки — 1,7 Кбайт/с). Второй метод основан на IP-коллизиях в буфере переходов (BTB), когда один переход влияет на другой. Третий метод, самый быстрый (17 Кбайт/с), использует такие аппаратные уязвимости, как CVE-2024-28956 (ITS) и CVE-2025-24495, позволяющие прямым переходам влиять на косвенные. Интересно, что на тестировании один из этих методов позволил считать хеш-значение пароля пользователя root всего за 60 секунд.

Источник изображения: opennet.ru

Атакам подвержены чипы Intel с поддержкой eIBRS, включая Coffee Lake и Lion Cove. Уязвимость ITS (CVE-2024-28956) затрагивает Core 9–11 поколений и Xeon 2–3 поколений, а уязвимость CVE-2025-24495 угрожает новейшим Lunar Lake и Arrow Lake. Одновременно AMD заявила, что её процессоры не подвержены данным атакам, а компания Arm уточнила, что в зоне риска находятся только старые чипы без поддержки современных расширений FEAT_CSV2_3 и FEAT_CLRBHB.

Все найденные проблемы уже получили исправления от производителей. Intel выпустила обновление микрокода с новой инструкцией IBHF, а в Linux добавлены патчи, блокирующие эксплуатацию через cBPF. Для старых процессоров рекомендована программная очистка буфера переходов. Также в ядре внедрён механизм выноса косвенных переходов в верхнюю часть строки кеша.

Отмечается, что угроза актуальна для облачных провайдеров и виртуальных сред, где возможна утечка между гостевыми системами и управляющим хостом. Владельцам серверов на Intel рекомендуется как можно скорее установить обновления, а пользователи AMD и современных Arm-чипов могут не опасаться — их системы защищены на аппаратном уровне.

Компания PCAutomotive из Венгрии, занимающаяся вопросами кибербезопасности, на конференции Black Hat Asia 2025 представила эксплойт и демонстрацию удалённого доступа к электромобилю Nissan LEAF 2020 года выпуска. Используя уязвимости Bluetooth и оборудование автомобиля, хакеры смогли следить за машиной, её пассажирами и даже перехватили управление рулевым колесом — и не только.

Источник изображения: PCAutomotive

Обнаруженная уязвимость представляет собой набор из десяти ошибок в протоколах Bluetooth и системах электромобиля. Информация об уязвимости была передана компании Nissan ещё в 2024 году. Фактически всё, что команда PCAutomotive показала в видеоролике и рассказала во время презентации, уже закрыто патчами как со стороны автопроизводителя, так и компаниями в цепочке поставок. Потеря управления автомобилем в процессе движения — это крайне серьёзная угроза, хотя и утечка конфиденциальных данных также не сулит ничего хорошего.

С помощью «пары штуковин с eBay», клавиатуры и эксплойта специалисты смогли удалённо подключиться к электромобилю Nissan LEAF. Они получили доступ к данным GPS, к разговорам в салоне, могли делать снимки с помощью встроенной камеры и воспроизводить звук через мультимедийную систему автомобиля. Также был получен доступ к большинству систем машины — от управления зеркалами и стеклоочистителями до вращения рулевого колеса.

Подобную уязвимость команда PCAutomotive ранее обнаружила и в автомобилях Škoda. Однако в случае с этой маркой дело ограничилось перехватом мультимедийных функций и слежением — доступ к системам управления получить не удалось. С Nissan LEAF ситуация зашла гораздо дальше и приняла особенно тревожный оборот.

Утилита управления драйверами Asus DriverHub, которая поставляется вместе с материнскими платами компании, имеет ряд уязвимостей, эксплуатация которых может позволить злоумышленникам осуществлять удалённое выполнение команд на компьютерах, где она установлена. Проблему обнаружил независимый исследователь в сфере кибербезопасности из Новой Зеландии, известный под ником MrBruh.

Источник изображения: Mika Baumeister / Unsplash

DriverHub представляет собой официальную утилиту Asus, которая предназначена для управления драйверами. Она автоматически загружается на компьютеры с определёнными материнским платами компании при первичной настройке системы. Приложение работает в фоновом режиме, автоматически определяя и загружая наиболее актуальные версии драйверов для материнской платы и чипсета. После установки утилита использует протокол удалённого вызова процедур (RPC) и порт 53000 для проверки обновлений драйверов. При этом большинство пользователей даже не подозревает, что на их ПК запущена такая служба.

Веб-сайты могут подключиться к созданной утилитой локальной службе через API-запросы. При этом она проверят заголовки входящих HTTP-запросов, чтобы отклонять всё, что приходит не от driverhub.asus.com. Однако процедура проверки плохо реализована, из-за чего служба принимает запросы от любого сайта, в имени которого содержится driverhub.asus.com, даже если он не является легитимным ресурсом, принадлежащим Asus.

Вторая проблема связана с модулем UpdateApp, который позволяет DriverHub загружать и запускать файлы с расширением .exe с URL-адресов, содержащих «.asus.com». Исследователь выяснил, что утилита сохраняет файлы, поступающие с таких URL-адресов, загружает файлы с любым расширением, выполняет подписанные файлы с правами администратора, а также не удаляет файлы, которые не прошли проверку подписи.

Фактически злоумышленник может выбрать любого пользователя, на компьютере которого запущен DriverHub, и обманом заставить его посетить вредоносный сайт. После этого с вредоносной страницы будут отправляться запросы UpdateApp локальной службе по адресу http://127.0.0.1:53000. Подмена заголовка на что-то вроде driverhub.asus.com.mrbruh.com позволяет пройти процедуру проверки подлинности, после чего DriverHub будет принимать запросы от вредоносного сайта.

В демонстрации исследователь успешно загружает легитимный установщик AsusSetup.exe с подписью Asus с портала вендора, а также вредоносный файл с расширением .ini и вредоносное ПО с расширением .exe. Программа установки с подписью Asus запускается от имени администратора и использует информацию о конфигурации в ini-файле, который направляет легитимную утилиту установки драйвера на запуск вредоносного исполняемого файла. Атака такого типа возможна ещё и потому, что утилита не удаляет файлы, которые не прошли проверку подписи вендора.

Созданная исследователем цепочка эксплойтов использует уязвимости CVE-2025-3462 и CVE-2025-3463. MrBruh уведомил Asus о проблеме 8 апреля, а соответствующее исправление вендор выпустил 18 апреля. Отмечается, что компания не предложила исследователю вознаграждение за обнаружение серьёзных уязвимостей. В описании уязвимостей на сайте Asus их значимость несколько преуменьшена. Там сказано, что проблема затрагивает только материнские платы и не касается ПК, ноутбуков и других устройств. Однако это не так, поскольку проблема затрагивает ПК и ноутбуки, на которых установлена утилита DriverHub. При этом после выхода исправления Asus настоятельно рекомендовала пользователям обновить версию DriverHub до наиболее актуальной. Использовались ли упомянутые уязвимости хакерами для проведения реальных атак, неизвестно.

Функция Apple AirPlay позволяет с лёгкостью воспроизводить музыку или демонстрировать фотографии и видео с iPhone и MacBook на других устройствах Apple или других производителей. Но в этом протоколе обнаружилась уязвимость, позволяющая гипотетическим злоумышленникам свободно перемещаться по сети между устройствами и распространять вредоносное ПО. Продукты Apple обновляются регулярно, но некоторые устройства умного дома — нет, и они способны стать плацдармами для вредоносного ПО, пишет Wired.

Источник изображений: apple.com

Эксперты специализирующейся на кибербезопасности компании Oligo раскрыли информацию о наборе уязвимостей, который они назвали AirBorne, — он создаёт угрозу для работы протокола локальной беспроводной связи Apple AirPlay. Из-за ошибки в комплекте разработки ПО (SDK) для сторонних устройств гипотетические хакеры могут взламывать широкий спектр устройств: динамики, ресиверы, телевизионные приставки и умные телевизоры, подключённые к той же сети Wi-Fi, что и машина хакера. Ещё один набор уязвимостей того же семейства AirBorne мог бы позволить использовать в тех же целях устройства Apple с AirPlay, но в последние месяцы компания закрыла эти уязвимости в обновлениях. Эксплуатировать эти уязвимости можно было лишь в том случае, когда пользователи изменяли настройки по умолчанию, добавил представитель Apple.

Подверженные уязвимости совместимые с AirPlay устройства сторонних производителей исчисляются десятками миллионов — чтобы исправить это, уйдут годы, но в действительности большинство из них так и останется уязвимым из-за ошибки в ПО Apple, говорят в Oligo. Компания уже несколько месяцев помогает технологическому гиганту закрывать уязвимости AirBorne, но если потребители не начнут устанавливать обновления на стороннюю продукцию, ничего не изменится.

Хакер может войти в сеть Wi-Fi с уязвимыми устройствами, взломав компьютер в домашней или корпоративной сети или подключившись к Wi-Fi в кафе или аэропорту. После этого он может захватить контроль над уязвимым устройством и использовать его в качестве скрытой точки входа, взлома других устройств в сети, а также включать их в ботнет, который координируется централизованно. Многие из уязвимых гаджетов располагают микрофонами, и их можно использовать для подслушивания, говорят в Oligo. Эксперты не стали создавать эталонный код эксплойта, чтобы продемонстрировать величину угрозы, но показали, как он работает на примере динамика Bose, который показал логотип Oligo.

Oligo предупредила Apple о проблеме AirBorne минувшей осенью — производитель отреагировал, выпустив соответствующие обновления безопасности при поддержке компании, которая выявила проблему. В умных колонках и телевизорах сторонних производителей могут оказаться данные пользователей, признали в Apple, хотя и в незначительных объёмах. AirBorne затронула и протокол CarPlay, который используется для подключения устройств Apple к информационно-развлекательным системам автомобилей, но в случае с CarPlay у потенциальных злоумышленников меньше возможностей сделать это.

А вот устройства в домашних сетях, напротив, представляются более подходящими мишенями для взлома — они могут стать источниками распространения вирусов-вымогателей или подконтрольными злоумышленникам средствами для шпионажа; при этом потребитель в таком оборудовании часто вообще не видит угрозы и не считает необходимым обновлять ПО для него. Набор уязвимостей AirBorne в Oligo обнаружили случайно, когда работали над другим проектом. Ситуация усугубляется тем, что некоторые производители включают поддержку AirPlay в свою продукцию, не уведомляя Apple и не придавая продукции статуса «сертифицированной».

Производители материнских плат начали развёртывать обновления BIOS на основе прошивки AGESA 1.2.0.3C с исправлением критической уязвимости EntrySign процессоров AMD Zen 5. Эта уязвимость затронула процессоры на архитектуре Zen всех поколений — обновления для моделей от Zen 1 до Zen 4 вышли ранее.

Источник изображения: amd.com

AMD начала рассылать обновление прошивки производителям материнских плат в конце марта. Каждому требуется какое-то время для её интеграции в свой код BIOS, поэтому обновления BIOS начали выходить только сейчас — в частности, MSI уже выпустила его для некоторых материнских плат серии 800.

Обнаруженная экспертами Google уязвимость EntrySign позволяет выполнять на процессоре неподписанный, в том числе вредоносный код — она возникла из-за некорректной работы процесса проверки подписи AMD, в котором использовался слабый алгоритм хеширования AES-CMAC. Для эксплуатации уязвимости требуется доступ к ядру операционной системы (кольцо 0), то есть в большинстве случаев потенциальным злоумышленникам понадобится воспользоваться несколькими другими ошибками, чтобы выйти на этот уровень доступа. Кроме того, такой микрокод с «горячей» загрузкой не сохраняется при перезагрузке. При выключении и перезагрузке компьютера микрокод сбрасывается до встроенного в процессор с завода и позже может изменяться средствами BIOS и ОС, что служит ещё одним защитным барьером.

Помимо ПК, эта уязвимость представляет угрозу для серверных процессоров, в том числе семейства AMD Turin (EPYC 9005), позволяет обходить такие средства защиты как SEV и SEV-SNP — и открывать доступ к закрытым данным с виртуальных машин. На данный момент ошибка исправлена для всех процессоров на архитектуре AMD Zen 5, включая Granite Ridge, Turin, Strix Point, Krackan Point и Strix Halo, но не Fire Range (Ryzen 9000HX).

В случае обычного пользователя для эксплуатации данной уязвимости потребуется провести атаку иного рода, например, по схеме BYOVD (Bring Your Own Vulnerable Driver) — когда эксплуатируются уязвимости в доверенных и подписанных драйверах на уровне ядра, чтобы выйти на доступ к кольцу 0. Одну из таких уязвимостей ранее обнаружили в античите Genshin Impact — её эксплуатация позволяла получать привилегии на уровне ядра. Поэтому рекомендуется отслеживать обновления BIOS у производителей с указанием использования прошивки AGESA 1.2.0.3C.

Неоднозначный, скандально известный форум 4chan, породивший раннюю интернет-культуру мемов, был взломан. Согласно данным Downdetector, первые сообщения о сбое в работе ресурса появились поздно вечером в понедельник, на текущий момент проблемы с доступом сохраняются, попытки перейти по прямым ссылкам приводят к тайм-ауту. Предположительно, в Сеть утекли персональные данные модераторов и большинства пользователей.

Источник изображения: unsplash.com

Похоже, что хакерам удалось взломать оболочку сервера хостинга 4chan. Затем они использовали утилиту phpmyadmin для доступа к базе данных форума и, по-видимому, слили данные как модераторов, так и большинства зарегистрированных пользователей сайта. Судя по наличию в списке утёкших данных многочисленных адресов электронной почты из доменов .edu и .gov, многие участники форума использовали для регистрации свои реальные данные, что ставит их конфиденциальность под угрозу.

Хакеры выложили в открытый доступ скриншоты панелей статистики, админ-панели и базы данных, сопроводив надписью «I fucking own 4chan». Многие пользователи социальных сетей и Reddit предполагают, что этот взлом может стать концом самого печально известного форума в интернете. Появились сообщения о полном сливе исходного кода движка сайта.

Источник изображения: pexels.com

4chan существует с 1 октября 2003 года. Похоже, что использованные хакерами дыры в безопасности ведут свою историю с тех самых пор и не были исправлены даже после передачи форума его создателем Кристопером Пулом (Christoper Poole) покупателю Хироюки Нисимура (Hiroyuki Nishimura). На восстановление 4chan и устранение уязвимостей могут потребоваться месяцы.

4chan считается отправной точкой популяризации мема об Анонимусе, так как большинство постов по умолчанию подписываются как «Анонимус».

Google закрыла уязвимость в веб-обозревателе Chrome, которая могла раскрывать историю посещённых пользователем сайтов. Проблема существовала с начала 2000-х годов и была связана с тем, как браузеры отображают посещённые ссылки.

Источник изображения: Solen Feyissa / Unsplash

Чтобы отобразить ссылки, которые пользователь посещал ранее (они помечаются фиолетовым цветом), браузер должен отслеживать эти страницы с помощью каскадных таблиц стилей через селектор :visited. Как объяснили в Google, суть ошибки заключалась в том, что информация о том, какие ссылки пользователь уже посещал, сохранялась без разделения конфиденциальности между посещаемыми сайтами. То есть, любой сайт мог определить, была ли ранее нажата определённая ссылка, даже если она отображалась на совершенно другом ресурсе.

Источник изображения: developer.chrome.com

«Вы просматриваете сайт A и кликаете по ссылке на сайт B. Позже вы заходите на условно вредоносный сайт C, который тоже содержит ссылку на сайт B. Он может узнать, что вы уже были на сайте B, просто определив ссылку по цвету», — пояснили в Google.

Источник изображения: developer.chrome.com

В компании назвали это фундаментальной ошибкой дизайна браузера и подчеркнули, что она могла применяться для отслеживания активности пользователей в интернете. Уязвимость затрагивала не только Chrome, но и другие браузеры — в частности, Safari, Opera, Internet Explorer и Firefox, сообщает PCMag.

Впервые на проблему обратил внимание исследователь безопасности Эндрю Кловер (Andrew Clover) ещё в 2002 году. Он визуально продемонстрировал все этапы возможной атаки, опираясь на исследовательскую статью Принстонского университета «Timing Attacks on Web Privacy».

Исправление уже включено в бета-версию обновления Chrome 136. Теперь информация о посещённых ссылках будет храниться отдельно для каждого сайта и не будет передаваться между ресурсами.

Исследователи безопасности Google недавно обнаружили скрытую уязвимость под названием EntrySign, которая позволяет выполнять вредоносный код через неподписанные исправления микрокода на процессорах AMD — от Zen до Zen 4. Сама AMD только что подтвердила, что её новейшие чипы на архитектуре Zen 5 также оказались затронуты этой уязвимостью.

Источник изображения: TechSpot

Проблема заключается в ошибке проверки подписи AMD для обновлений микрокода — низкоуровневых исправлений, которые производители чипов выпускают после поставки процессоров для устранения ошибок или уязвимостей. Обычно операционная система или прошивка загружает только микрокод, подписанный и одобренный AMD. EntrySign позволяет злоумышленникам с доступом к кольцу 0 (уровень ядра) обойти эту защиту на уязвимых чипах.

В прошлом месяце AMD заявила, что EntrySign затронула первые четыре поколения процессоров Zen во всём ассортименте её продукции. Уязвимыми оказались все чипы — от массовых потребительских Ryzen до высокопроизводительных серверных процессоров EPYC. На этой неделе AMD обновила свой бюллетень безопасности, подтвердив, что даже новые чипы Zen 5 подвержены этой уязвимости. В их числе — настольные Ryzen 9000 (Granite Ridge), серверные EPYC 9005 (Turin), мобильные Ryzen AI 300 (Strix Halo, Strix Point и Krackan Point), а также мобильные Ryzen 9000HX (Fire Range) для мощных игровых ноутбуков.

AMD сообщает, что уже предоставила необходимые исправления микрокода поставщикам материнских плат через обновление ComboAM5PI 1.2.0.3c AGESA. Пользователям рекомендуется проверить веб-сайт производителя материнской платы на наличие обновлений BIOS.

Источник изображения: AMD

Ситуация с серверными процессорами оказалась немного сложнее. Хотя AMD уже выпустила исправления для потребительских чипов и серверных моделей EPYC предыдущих поколений, обновления для новых моделей EPYC (Turin), затронутых уязвимостью EntrySign, ожидаются не раньше конца этого месяца.

Отмечается, что злоумышленнику для использования уязвимости EntrySign требуются системные привилегии высокого уровня. В отличие от постоянных вредоносных программ, которые сохраняются в системе даже после перезагрузки, переустановки программ или выхода пользователя, любой вредоносный микрокод, загруженный через EntrySign, стирается при перезагрузке системы. Хотя реальный риск для обычных пользователей относительно невелик, потенциальная угроза для центров обработки данных и облачной инфраструктуры делает эту уязвимость серьёзной проблемой безопасности, которую AMD и её партнёры стараются оперативно устранить.