雷鋒網6月2日消息,據國外專門報道網絡安全的媒體securityaffairs稱,網絡安全專家Pedro Vilaça日前在蘋果的Mac系統中發現了一個被稱為“zero-day”的低級漏洞,攻擊者利用該漏洞可以很容易地安裝EFI rootkit(一種特殊類型的惡意軟件)。
據Vilaça透露,當Mac電腦進入睡眠模式時,攻擊者可利用flash保護未鎖定這一特點,使用遠程向量安裝一個EFI rootkit變得相當容易。因為當Mac電腦進入30秒的睡眠狀態時,flash鎖就會被移除。
引用“不得不説,蘋果的S3掛起-恢復實現方式是如此的糟糕,在一個掛起-恢復週期之後,他們竟然未鎖定flash保護。這意味着,除了一個掛起-恢復週期、內核擴展、flashrom和root權限,不用其他任何技巧,你就可以從用户態和rootkit EFI覆寫BIOS的內容。”
據悉,目前受到影響的蘋果電腦型號包括macbook Pro Retina、MacBook Pro和MacBook Air等,這些型號均運行的是最新EFI固件。在這些受影響的電腦中,攻擊者可以更新閃存存儲器(flash ROM)內存中的內容,包括EFI二進制文件、rom存儲器。然而,需要注意的是,並非所有上面所提系統都受此漏洞影響,Vilaça推測蘋果公司應該已經意識到了這個0day漏洞,並已經對一些模塊打了必要的補丁。
目前蘋果並未對此次漏洞作出迴應,而在蘋果徹底解決這一漏洞之前,Vilaça的建議是通過比較用户機器的固件和他整理的圖像存檔。
引用“下載DarwinDumper並加載DirectHW.kext內核擴展。然後就可以通過指令‘flashrom -r biosdump -V -p internal’使用flashrom來轉儲BIOS並顯示寄存器內容。此外,你也可以自己編譯DirectHW.kext和flashrom。DarwinDumper可以直接使用,並且它的kext模塊似乎是合法的(因為它在蘋果的排除清單中,所以至少蘋果信任它)。”
本文轉載請註明來源:http://www.leiphone.com/news/201506/dvfzL1AQpXT4krda.html
資料來源:雷鋒網
作者/編輯:金紅
請按此登錄後留言。未成為會員? 立即註冊