即便你的操作系統和應用都更新了，但還有一個安全威脅隱藏在深處。新研究表明，Mac機上預啟動軟件往往過時老舊，讓果粉面臨更大的惡意軟件攻擊風險。

安全公司Duo Security對7.3萬臺蘋果Mac機的分析顯示，因為老舊過時的固件，用戶毫無所覺地暴露在復雜惡意軟件攻擊之下。從硬件模型、操作系統(OS)版本和隨OS發布的可擴展固件接口(EFI)版本來看，企業環境里被分析的73,324臺Mac機中，4.2%的EFI版本與預期不符。

分析的某iMAC模型(2015年底推出的21.5英寸版)中，43%(2,190臺中的941臺)運行的是過時的不安全版本固件。2016年底的3款13英寸 MacBook Pro，呈現出25%到35%的異常率。2011年初的2款 MacBook Pro，與預期EFI固件版本不符的占15%和12%。

操作系統版本不同，偏離預期EFI固件的比例也明顯不同。macOS 10.12(Sierra) 10%的異常率明顯高于平均值;然后就是 OS X 10.11 (El Capitan)，為3.4%;最后是OS X 10.10 (Yosemite) ，是2.1%。

更新的App，過時的固件

該研究顯示，Mac粉很容易使用OS和應用緊跟時代，EFI固件卻過時多年的系統，讓他們的Mac計算機對公開揭露的漏洞和漏洞利用程序毫無防范。

被分析的7萬多臺Mac機中，共有3,400臺(4.6%)的系統持續接收軟件安全更新，卻不接收EFI固件更新。

Duo Security分析的OS X/macOS(從10.10版到10.12版)主機中，Mac硬件和OS的16種搭配組合，從不接收任何EFI固件更新。但卻持續接收來自蘋果的OS和配套軟件的安全更新。

研究人員被被這其中的更新差距嚇了一跳。

考慮到最新版本的EFI固件應隨OS更新自動安裝，該差異之大，令人心驚。本來，僅特殊情況下，當前EFI版本才會與隨當前OS版本發行的EFI不相符的。

雷霆一擊

固件安全缺陷可將用戶暴露在“雷擊(Thunderstrike)”漏洞攻擊之下。維基解密的Vault 7數據大放送中曝光的NSA黑客工具，同樣依靠過時固件。

Duo Security稱，其研究引發了對蘋果在EFI固件更新質量水平上的質疑，畢竟它在軟件安全更新上干得漂亮得多。這對比實在是太強烈了。

對蘋果更新包的進一步分析，也凸顯出其EFI程序的錯誤包含：2017-001安全更新(10.10和10.11)中的43個版本EFI程序，比之前2016-003(10.11)和2016-007(10.10)更新中發布的EFI程序版本還要老舊。

這表明了一種退步，或者說是發布質量的失控——錯誤的EFI固件版本被放到了OS安全更新中。

Duo Security猜測，可能有什么東西干擾了捆綁EFI固件更新的安裝，讓系統繼續運行老舊的EFI版本。

部分問題在于：蘋果系統的EFI固件安全狀態基本上沒什么可見性。EFI固件受到固件補丁支持的時長也沒有個公開的時間線，也沒有任何列表指出哪些系統不再接收固件更新——盡管繼續接收軟件安全更新。企業補丁部署工具或許也是個問題，至少某些案例中是。

但該固件安全漏洞的部分原因，可能是糟糕操作員的失誤，而非蘋果的錯。Mac系統管理員無視EFI固件更新的重要性是常態，或者常常因為其部署中的歷史遺留問題，而主動移除了EFI固件更新。應用EFI固件更新的過程，曾是需要IT支持員工手動操作的費勁流程。

因此，很多Mac系統管理員，漸漸就決定移除或禁用隨OS或安全更新的EFI固件更新的部署了，他們決定等需要的時候再“面對它”。

但Duo Security表示，這種方法已不再具有可持續性，建議EFI固件更新還是隨OS或安全更新交付并應用為妙。