據國外專門報道網絡安全的媒體securityaffairs稱，網絡安全專家Pedro Vila a日前在蘋果的Mac系統中發現了一個被稱為“zero-day”的低級漏洞，攻擊者利用該漏洞可以很容易地安裝EFI rootkit（一種特殊類型的惡意軟件）。

據Vila a透露，當Mac電腦進入睡眠模式時，攻擊者可利用flash保護未鎖定這一特點，使用遠程向量安裝一個EFI rootkit變得相當容易。因為當Mac電腦進入30秒的睡眠狀態時，flash鎖就會被移除。

“不得不說，蘋果的S3掛起-恢復實現方式是如此的糟糕，在一個掛起-恢復周期之后，他們竟然未鎖定flash保護。這意味著，除了一個掛起-恢復周期、內核擴展、flashrom和root權限，不用其他任何技巧，你就可以從用戶態和rootkit EFI覆寫BIOS的內容。”

據悉，目前受到影響的蘋果電腦型號包括macbook Pro Retina、MacBook Pro和MacBook Air等，這些型號均運行的是最新EFI固件。在這些受影響的電腦中，攻擊者可以更新閃存存儲器（flash ROM）內存中的內容，包括EFI二進制文件、rom存儲器。然而，需要注意的是，并非所有上面所提系統都受此漏洞影響，Vila a推測蘋果公司應該已經意識到了這個0day漏洞，并已經對一些模塊打了必要的補丁。

目前蘋果并未對此次漏洞作出回應，而在蘋果徹底解決這一漏洞之前，Vila a的建議是通過比較用戶機器的固件和他整理的圖像存檔。

“下載DarwinDumper并加載DirectHW.kext內核擴展。然后就可以通過指令‘flashrom -r biosdump -V -p internal’使用flashrom來轉儲BIOS并顯示寄存器內容。此外，你也可以自己編譯DirectHW.kext和flashrom。DarwinDumper可以直接使用，并且它的kext模塊似乎是合法的（因為它在蘋果的排除清單中，所以至少蘋果信任它）。”