部分Mac计算机固件爆出漏洞 黑客可以发起攻击

科技动态 2017-10-01

原标题:部分Mac计算机固件爆出漏洞 黑客可以发起攻击

安全公司Duo Security周五披露称,自2015年以来,苹果一直想保护好Mac计算机产品,使之免受黑客的攻击,但是这种攻击极难侦测,苹果并没有完全成功,公司很难将修复补丁交给客户。

Duo查看了Mac计算机固件。所谓固件就是嵌入式软件,它比Windows或者macOS更加基础。当计算机最初打开时,在操作系统启动之前固件会检查基本组件的状态(比如硬盘、处理器),告诉它们应该做什么事。正因如此,如果恶意病毒藏在固件代码内很难察觉。

大多数情况下,固件很难通过最新的安全补丁更新升级。一般来说企业会对操作系统更新,而操作系统更新与固件更新是独立的。2015年,苹果在Mac操作系统更新程序中捆绑了固件更新补丁,目标是确保固件处在最新状态。

Duo在真实世界调查了7.3万台Mac计算机,发现当中约有4.2%安装的固件与操作系统不匹配。例如,在一些Mac机型中(比如2015年年末发布的21.5英寸iMac)约有43%使用过时固件。这样一来,许多Mac就为黑客攻击敞开了大门,比如Thunderstrike攻击,只要用户将以太网适配器插入“Thunderbolt”接口,黑客就可以控制Mac。

据Duo公司研发主管里奇·史密斯(Rich Smith)表示,目前只能寻找可能存在漏洞的机器,在众多的计算机制造商中,只有苹果尝试将固件更新放进常规软件更新程序,这样追踪起来更方便,苹果的固件更新服务也是行业最好的。

安全公司已经将自己的发现告知苹果,苹果在声明中表示,公司已经察觉问题的存在,正在解决。声明称:“在固件安全领域,苹果一直很重视,我们不断在寻找办法让系统安全更上层楼。在固件安全方面,为了向用户提供更安全的体验,macOS High Sierra每周会对Mac固件自动验证。”

您可能感兴趣的

在Mac OSX给Apache的localhost配置SSL 这是在Mac上给Apache的localhost配置ssl的过程及指令。 配置SSL的环境:Apache 2.4.16,OSX El Capitan (10.11.2) Apache SSL配置 1、在目录/etc/apache2/下新建ssl目录: sudo mkdir /etc/...
支持窗口录屏的 GIF 录制应用:Gifox | App+1... 无论是开源的 Kap 还是 Mac App Store 中的 GIF Brewery 、 GIPHY Capture 等,这些 GIF 录制应用我都用过,其共同点是免费,这也是我很久之前选择应用的倾向。后不满于这类应用的体验,在 Mac App Store 和搜索引擎以 GIF 为关键字检索: ...
TidBITS Watchlist: Notable Software Updates for 24... Moneydance 2017.4-- The Infinite Kind has released Moneydance 2017.4 , fixing a bug that prevented Dropbox syncing from working properly when the ...
根据需求使用不同的浏览器打开链接 : Browser ChooserX... 一、根据需求使用不同的浏览器打开链接 : Browser ChooserX简介 这是一款macOS平台的可以让我们根据需求使用不同的浏览器打开链接的工具,运行后会让你将它设置为默认的浏览器,如果你将它设置为默认浏览器,以后每次点击链接都会出现一个列表,让你选择使用哪个浏览器打开链接。当然你也可以...
ArrayIndexOutOfBoundsException but Array is not em... Ive got The Following Error Message java.lang.ArrayIndexOutOfBoundsException: length=1; index=1 at com.sbeyer.daainv.EditDataFragment.onCreateView...