雷鋒網(wǎng)6月2日消息，據(jù)國外專門報道網(wǎng)絡(luò)安全的媒體securityaffairs稱，網(wǎng)絡(luò)安全專家Pedro Vila?a日前在蘋果的Mac系統(tǒng)中發(fā)現(xiàn)了一個被稱為“zero-day”的低級漏洞，攻擊者利用該漏洞可以很容易地安裝EFI rootkit（一種特殊類型的惡意軟件）。

據(jù)Vila?a透露，當(dāng)Mac電腦進(jìn)入睡眠模式時，攻擊者可利用flash保護(hù)未鎖定這一特點，使用遠(yuǎn)程向量安裝一個EFI rootkit變得相當(dāng)容易。因為當(dāng)Mac電腦進(jìn)入30秒的睡眠狀態(tài)時，flash鎖就會被移除。

“不得不說，蘋果的S3掛起-恢復(fù)實現(xiàn)方式是如此的糟糕，在一個掛起-恢復(fù)周期之后，他們竟然未鎖定flash保護(hù)。這意味著，除了一個掛起-恢復(fù)周期、內(nèi)核擴(kuò)展、flashrom和root權(quán)限，不用其他任何技巧，你就可以從用戶態(tài)和rootkit EFI覆寫B(tài)IOS的內(nèi)容。”

據(jù)悉，目前受到影響的蘋果電腦型號包括MacBook Pro Retina、MacBook Pro和MacBook Air等，這些型號均運(yùn)行的是最新EFI固件。在這些受影響的電腦中，攻擊者可以更新閃存存儲器（flash ROM）內(nèi)存中的內(nèi)容，包括EFI二進(jìn)制文件、rom存儲器。然而，需要注意的是，并非所有上面所提系統(tǒng)都受此漏洞影響，Vila?a推測蘋果公司應(yīng)該已經(jīng)意識到了這個0day漏洞，并已經(jīng)對一些模塊打了必要的補(bǔ)丁。

目前蘋果并未對此次漏洞作出回應(yīng)，而在蘋果徹底解決這一漏洞之前，Vila?a的建議是通過比較用戶機(jī)器的固件和他整理的圖像存檔。

“下載DarwinDumper并加載DirectHW.kext內(nèi)核擴(kuò)展。然后就可以通過指令‘flashrom -r biosdump -V -p internal’使用flashrom來轉(zhuǎn)儲BIOS并顯示寄存器內(nèi)容。此外，你也可以自己編譯DirectHW.kext和flashrom。DarwinDumper可以直接使用，并且它的kext模塊似乎是合法的（因為它在蘋果的排除清單中，所以至少蘋果信任它）?！?br/>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。