Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Как и другие подобные приложения, утилита DT Research подписана сертификатом Microsoft, который также используется в процессе загрузки ОС на базе ядра Linux. Собственно уязвимость заключается в том, что приложение не проверяет входящие данные и использует их в качестве указателей в ряде операций записи в оперативную память. В Binarly показали, как эту ошибку в коде могут использовать атакующие для перезаписи важных данных, в том числе — изменять переменную, которая, по сути, отключает Secure Boot в принципе.
В результате выстраивается следующий сценарий теоретической атаки. Злоумышленник кратковременно получает физический доступ к устройству. Задействует уязвимость в утилите компании DT Research. Выводит из строя Secure Boot. Добавляет в процесс загрузки вредоносные модули и наконец перезагружает компьютер, обеспечивая вредоносному коду контроль над операционной системой.
У этой истории есть интересный сюжетный поворот. Для того чтобы уязвимость работала, у атакующего должна быть возможность модификации переменной IhisiParamBuffer, из которой утилита DT Research будет производить чтение данных. В UEFI компании Insyde Software модификация данной переменной заблокирована, в то время как у других разработчиков UEFI ее можно изменять. В устройствах DT Research используется UEFI именно от Insyde Software. Получается, что ошибка в коде определенного производителя ставит под угрозу большое количество устройств, но компьютеры самого производителя уязвимости не подвержены.
Следующая уязвимость с идентификатором обнаружена исследователем Заком Дидкоттом. Она содержится в модуле igel-flash-driver для ядра Linux, разработанном компанией IGEL Technology. Суть в следюущем: ошибка при верификации криптографической подписи может приводить к загрузке с использованием вредоносной файловой системы.
Третья уязвимость исследователем Николаем Шлеем и имеет идентификатор CVE-2025-4275 (он также опубликовал отчет на Хабре и ). Николай исследовал работу UEFI на собственном ноутбуке Huawei MateBook 14, в котором используется прошивка UEFI InsydeH2O. Уязвимость позволяет при включенном Secure Boot выполнить произвольный код, подписанный собственноручно сгенерированным сертификатом. Во публикации исследователь показывает, как развить атаку и перехватить управление во время обновления прошивки с потенциально более серьезными последствиями.
Что еще произошло
Исследователи «Лаборатории Касперского» разбирают свежую вредоносную программу, маскирующуюся под клиент для ИИ-помощника DeepSeek. Вредоносное приложение продвигается через соцсети и рекламу в результатах поиска. В случае установки, перенастраивает браузеры на машине жертвы настраиваются так, чтобы пропускать трафик через прокси-сервер злоумышленников. В еще одной эксперты ЛК описывают свежую волну кибератак на системы видеонаблюдения.
Крайне любопытная обнаружена и закрыта в ИИ-помощнике Microsoft Copilot. Ошибка, получившая название EchoLeak, обеспечивает возможность эксфильтрации конфиденциальных данных. С ее помоьщю возможен следующий вариант атаки: злоумышленник присылает жертве e-mail с безобидным содержимым, в котором также содержится скрытый промпт для ИИ-ассистента. Жертва запрашивает у ассистента информацию, которая может быть связана с данным e-mail. Содержимое письма подгружается, и Copilot выполняет скрытые инструкции.
В июньском наборе патчей для продуктов Microsoft также были серьезные уязвимости в Microsoft Word и клиенте Windows SMB.
Компания Google закрыла , которая позволяла узнать привязанный к произвольной учетной записи номер телефона.
