据国外专门报道网络安全的媒体securityaffairs称，网络安全专家PedroVilaa日前在苹果的Mac系统中发现了一个被称为“zero-day”的低级漏洞，攻击者利用该漏洞可以很容易地安装EFIrootkit。

　　据Vilaa透露，当Mac电脑进入睡眠模式时，攻击者可利用flash保护未锁定这一特点，使用远程向量安装一个EFIrootkit变得相当容易。因为当Mac电脑进入30秒的睡眠状态时，flash锁就会被移除。

　　“不得不说，苹果的S3挂起-恢复实现方式是如此的糟糕，在一个挂起-恢复周期之后，他们竟然未锁定flash保护。这意味着，除了一个挂起-恢复周期、内核扩展、flashrom和root权限，不用其他任何技巧，你就可以从用户态和rootkitEFI覆写BIOS的内容。”

　　据悉，目前受到影响的苹果电脑型号包括macbookProRetina、MacBookPro和MacBookAir等，这些型号均运行的是最新EFI固件。在这些受影响的电脑中，攻击者可以更新闪存存储器内存中的内容，包括EFI二进制文件、rom存储器。然而，需要注意的是，并非所有上面所提系统都受此漏洞影响，Vilaa推测苹果公司应该已经意识到了这个0day漏洞，并已经对一些模块打了必要的补丁。

　　目前苹果并未对此次漏洞作出回应，而在苹果彻底解决这一漏洞之前，Vilaa的建议是通过比较用户机器的固件和他整理的图像存档。

　　“下载DarwinDumper并加载DirectHW.kext内核扩展。然后就可以通过指令‘flashrom-rbiosdump-V-pinternal’使用flashrom来转储BIOS并显示寄存器内容。此外，你也可以自己编译DirectHW.kext和flashrom。DarwinDumper可以直接使用，并且它的kext模块似乎是合法的。”