1. 6. 2015

Výzkumník Pedro Vilaça odhalil zranitelnost nultého dne v zabezpečení starších počítačů Mac od společnosti Apple, která umožňuje privilegovaným uživatelům instalovat EFI rootkity.

Charakteristika zranitelnosti

Zranitelnost spočívá v chybné implementaci režimu spánku pro úsporu energie, která zanechává po probuzení některé oblasti paměti v rozhraní EFI (extensible firmware interface) otevřené pro zápis. Tyto paměťové oblasti jsou jinak z důvodu ochrany defaultně nastavené pouze pro čtení. Podle vyjádření Vilaça by mohla být tato chyba zneužita i vzdáleně, což by ji činilo mnohem nebezpečnější.

Postižené zařízení

Zranitelnost byla testována na zařízeních s poslední dostupnou verzí firmwaru EFI:
MacBook Pro Retina
MacBook Pro 8.2
MacBook Air

Novější zařízení by podle výzkumníka neměla být zranitelná.

Dopad zranitelnosti

Tato chyba umožňuje útočníkovi přepsat obsah BIOSu nebo nainstalovat rootkit, což je druh malware, který je jen velmi obtížně detekovatelný běžnými bezpečnostními aplikacemi.

Řešení

Doporučuje se aktualizovat firmware na starších zařízeních. Další možností je nenechávat stroj přejít do režimu spánku, ale vždy jej rovnou vypínat.

CVE

N/A

Odkazy

https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-completely-broken
http://www.theregister.co.uk/2015/06/01/apple_suspend_bug_0day
http://www.pcworld.com/article/2929172/apple-vulnerability-could-allow-firmware-modifications-researcher-says.html
http://www.networkworld.com/article/2929173/apple-vulnerability-could-allow-firmware-modifications-researcher-says.html