На прошлой неделе были обнародованы детали сразу трех уязвимостей, позволяющих обойти технологию Secure Boot. Данная технология применяется на вс0ех современных ПК (и на других устройствах), и ее целью является контроль целостности кода при запуске системы. Функционирование данного механизма требует взаимодействия множества компаний — разработчиков как программного, так и аппаратного обеспечения. Ошибки отдельных участников этой работы часто делают уязвимой всю экосистему, и примеры таких масштабных (хотя и относительно редко эксплуатируемых) уязвимостей в последнее время демонстрируются достаточно часто.
Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Читать дальше →
Security Week 2525: свежие уязвимости в Secure Boot