Ars Technica предупредила о дедлайне обновления ключей Secure Boot для Windows и Linux

Пользователям и администраторам Windows и Linux пора проверить состояние Secure Boot: 24 июня истекают три сертификата, которые используются в цепочке доверия при загрузке систем. Ars Technica напоминает, что речь не о косметическом обновлении, а о ключевом механизме защиты от UEFI-bootkit malware — вредоносного кода, который запускается ещё до операционной системы и антивирусов.

Secure Boot проверяет цифровые подписи компонентов, участвующих в запуске компьютера. Если прошивка, загрузчик или промежуточный компонент не выглядят доверенными, механизм должен остановить загрузку. Эта модель особенно важна против bootkit-атак: такой вредоносный код может переживать переустановку ОС, снова заражать систему при старте и скрываться от стандартных средств защиты.

Проблема с ключами связана с обновлением старой инфраструктуры доверия. Три подписи 2011 года заменяются новыми, датированными 2023 годом. Одним из факторов стала история LogoFail — набора уязвимостей в обработке логотипов UEFI, которые позволяли обходить Secure Boot на широком наборе Windows- и Linux-систем. Чтобы снизить риск подобных атак, Microsoft и производители должны обновить основу доверия, а Linux-дистрибутивы — выпустить новые shim-компоненты, связывающие Secure Boot с загрузчиками Linux.

Машины, которые не получат новые ключи, не перестанут работать автоматически. Но они могут остаться без защиты от новых UEFI-угроз, ради которых и проводится обновление. На Windows большинство систем должно получить изменения через обычные ежемесячные обновления, однако старые устройства или нестандартные конфигурации могут потребовать ручной проверки.

На Windows состояние Secure Boot можно посмотреть в настройках Windows Security: Device Security → Secure Boot. Для Linux-систем администраторам стоит следить за обновлениями shim и документацией своего дистрибутива, особенно если используются dual-boot, кастомные ключи или серверные образы с включённым Secure Boot.

Практический риск здесь в том, что Secure Boot часто воспринимается как «однажды включил и забыл». Но доверенная цепочка тоже стареет, а атаки на прошивки становятся всё более реальными. Проверка обновления ключей — редкий случай, когда профилактическая инфраструктурная операция напрямую снижает вероятность очень неприятного, трудно обнаруживаемого класса компрометации.

Источник: Ars Technica, 17 июня 2026