Разыскивается уязвимость. Вознаграждение - три тысячи долларов

Разыскивается уязвимость. Вознаграждение - три тысячи долларов

Любопытная информация появилась вчера в блоге Erictric. Согласно новостному сообщению, некий Алекс Миллер был награжден премией от Mozilla за активный и успешный поиск уязвимостей в обозревателе Firefox; сумма премии составила 3 тыс. долларов. Наиболее интересным фактом является, однако, не размер награды и даже не сама выявленная ошибка, а возраст лауреата.

Молодому исследователю из Сан-Хосе всего 12 лет, однако он, судя по всему, уже успел осознать важность борьбы с уязвимостями. В блог-записи говорится, что в течение десяти дней он последовательно изучал исходные коды Firefox и набрел-таки на потенциальную проблему безопасности, атака на которую может привести к переполнению буфера и повреждению памяти. С учетом того, что в общей сложности он провел за работой 15 часов, нетрудно рассчитать: Mozilla оплатила его труд по довольно высокой ставке в 200 долларов за час.

Ранее компания обещала "охотникам за уязвимостями" премии размером до 500 долларов, однако некоторое время назад, по словам ведущего менеджера программного направления Mozilla Брэндона Стерна, сумму призовых выплат удалось значительно увеличить - "с учетом последних изменений на рынке в частности и во всей экономике в целом".

Родители лауреата рассказали местной газете, что они никогда не ставили перед сыном некую "задачу" - например, по изучению книг технического характера в домашней библиотеке; он всего достиг вполне самостоятельно, по воле собственного интереса. Судя по результатам, сомневаться в природной одаренности юного специалиста действительно не приходится.

С полной версией статьи можно ознакомиться в первоисточнике.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Clevo допустила утечку ключей Intel Boot Guard

CERT/CC бьёт тревогу: в UEFI-прошивках компании Clevo нашли утечку закрытых ключей Intel Boot Guard — тех самых, что отвечают за проверку подлинности прошивки ещё до загрузки операционной системы. Уязвимость получила идентификатор CVE-2025-11577.

Эксплуатация грозит тем, что злоумышленники смогут подписывать и устанавливать вредоносную прошивку, которая будет выглядеть «доверенной» для системы.

Исследователи обнаружили, что в обновлениях прошивок Clevo случайно оказались закрытые ключи, используемые в механизме Intel Boot Guard.

Этот механизм — своего рода «охранник» на старте системы: он проверяет, что прошивка подлинная, прежде чем запустить загрузку. Если скомпрометировать Boot Guard, рушится вся цепочка доверия — дальше уже не помогут ни Secure Boot, ни защита ОС.

Clevo — не просто производитель ноутбуков, а ODM/OEM, то есть делает «железо» и прошивки для множества брендов по всему миру. Поэтому утечка затрагивает не только устройства с логотипом Clevo, но и другие ноутбуки, в которых используется её UEFI-код.

Скомпрометированные ключи дают злоумышленникам возможность:

  • подписывать поддельную прошивку, которая будет считаться «официальной»;
  • устанавливать её через обновление BIOS/UEFI или при физическом доступе;
  • сохранять контроль над устройством даже после перезагрузок, вне видимости антивирусов и ОС.

CERT/CC сообщает, что Clevo уже удалила прошивки с утёкшими ключами из публичного доступа, но пока не предложила чёткого плана по отзыву или замене ключей. Поэтому пользователям и производителям, использующим прошивки Clevo, рекомендуют:

  • проверить, есть ли у них устройства с уязвимыми версиями прошивки;
  • следить за признаками неавторизованных обновлений;
  • устанавливать только официальные обновления BIOS/UEFI из доверенных источников.

Ошибка с закрытыми ключами — редкий и очень серьёзный сбой в цепочке поставок. Если Boot Guard можно обмануть, вся система защиты превращается в фикцию. Пока Clevo не опубликует инструкций по замене ключей, риск остаётся — особенно для тех, кто использует устройства, где внутри «прошивка от Clevo».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru