Intel yönetim motoru - MacOS savunmasız mı?

Örneğin, Kablolu raporlamaya dayanarak, bu büyük kötü haber. Intel® Management Engine Kritik Ürün Yazılımı Güncellemesi (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/tr/support/articles/000025619/software.html

Apple donanımı / macOS'u savunmasız mı?

Birincisi: ilk etapta savunmasız olan macOS değil, donanım yazılımı ve ilgili donanım. İkinci adımda sisteminiz saldırıya uğramış olabilir.

Etkilenen işlemcilerden yalnızca bir kısmı Mac’lere yüklenmiştir:

• 6. ve 7. Nesil Intel® Core ™ İşlemci Ailesi

Bazı rastgele ürün yazılımı dosyalarını MEAnalyzer aracıyla kontrol ettim ve en azından bazılarını Intel Management Engine kodu içeren buldum:

Bu MacBook Pro Retina Orta 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Aile içindeki bir ME girişi Management Engine kodunu gösterir.

Bir EFIFirmware2015Update.pkg içinde 21 ürün yazılımı dosyasının 2'si, CVE-2017-5705 | 5708 | 5711 | 5712'den etkilenebilecek Intel Management Engine kodunu içerir.

In MacOS 10.13.1 update.pkg 5708 | | 5711 | 5712 21 firmware 46 dosya CVE-2017-5705 etkilenebilir Intel Yönetim Motoru kod içerir.

Bir kaynak ve bağlantılı bir kaynak, “Intel ME, her CPU'da üretiliyor ancak The Register'a ( 0 ) göre AMT bölümünün Apple donanımında çalışmadığını ” belirtiyor . AMT ayrıca daha eski bir güvenlik açığı ile ilgilidir ve Register bağlantısı buna işaret eder. O zaman üretici yazılımı CVE-2017-5711 | 5712'den etkilenmeyebilir, çünkü AMT Mac'lerde mevcut değildir.

Ancak son güvenlik açıklarından bazıları AMT gerektirmiyor.

Bence Mac’lerin Intel Q3'17 ME 11.x güvenlik açığından etkilenip etkilenmediği belli değil - muhtemelen sadece Apple söyleyebilir. En azından Mac'ler SPS 4.0 ve TXE 3.0 hatalarından etkilenmez!

Intel algılama aracı Q32017 MacBook Pro Intel algılama aracında önyükleme kampında çalıştırılırsa ekran görüntüsü: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Kötü haber millet

Doğrudan yerel Apple Mağazamdan edindiğim bilgilerle, Intel Mac'lerin gerçekten Intel ME donanımıyla birlikte geldiğini ve Apple'ın herhangi bir Intel donanımını değiştirmediğini doğrulayabilirim. Bu noktada, mac'ların Intel bellenimini çalıştırdığını veya ME için çalışmadığını onaylamam veya reddetmeme rağmen, bu sorunun diğer cevapları Intel bellenimini çalıştırdıklarını gösteriyor gibi görünüyor.

Apple makinelerinin tümünün savunmasız olduğunu ve bu yazı sırasında indirilebilecek yamaları olan diğer makinelere göre çok daha etkileyici olduğunu söyleyebilirim. Bunun nedeni, pek çok macun, sahip olduklarını varsayarsak, diğer kişilerin kendi bellenimlerinin sürümünün hata olmadığını kontrol etmek için kullandıkları ve python komut dosyalarının yanlış olduğunu veya ME donanımı için özel Apple tarafından yazılmış bellenimin kullanıldığını varsaymak için kullandıkları varsayılmamış Intel bellenimine sahip gibi görünmesidir. makinede mevcut. Klanomath, makineniz ME firmware'in eski 9.5.3 versiyonuyla oldukça berbat görünüyor. Başka bir makinedeki 11.6.5 belleniminin, burada görüldüğü gibi, intel denetimine göre açıkça savunmasız olduğu:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

11.8.0 veya üzeri bir sürüme güncellemeniz gerekir. O "izin çünkü Özellikle, bu kesmek böylece [s] olarak sisteme yerel erişimi olan [bir] saldırganın troubling keyfi kod. Yürütmesine Çoklu ayrıcalık escalations ... erişim ayrıcalıklı içeriğe izinsiz sürecine imkan belirtilmemiş vektör aracılığıyla. ... Saldırganın, AMT yürütme ayrıcalıklarıyla rasgele kod yürütmesi için sisteme yerel erişim izni ver ... izin ver ... AMT yürütme ayrıcalığı ile rasgele kod yürütmek için sisteme uzaktan Yönetici erişimi olan saldırganlara izin verir . "

"Keyfi kod yürütme, ayrıcalık yükseltme, sisteme uzaktan erişim ve rasgele kod yürütme." Bu delilik! Özellikle Intel ME, bir sistem kapalıyken bile uzaktan erişime izin verdiğinden, görünüşe göre Apple'ın sahip olmadığı AMT yazılımı ile olabilir.

INTEL-SA-00086'dan alıntı: "Saldırgan, fiziksel olarak platformun flash belleğine bağlı flash programcısı aracılığıyla kötü amaçlı bir üretici yazılımı görüntüsüyle platformu elle güncelleyerek fiziksel erişim kazanıyor."

Apple ürününüz, kötü niyetli kişilerin cihaza fiziksel olarak erişebileceği halka açık bir laboratuarda çalışmadığı sürece, muhtemelen endişelenmenize gerek yok. Güvenlik danışmanlığı bundan bahsetmiyor, ancak PC / Windows forumunda başka bir yerde okudum, saldırı bir USB bağlantı noktası (flash sürücü) üzerinden Flash Descriptor donanım yazılımına geliyor. Bir flash sürücüde sınırlı bir Linux çekirdeği kullanarak bir Apple bilgisayarını kaçırmak için USB flaş teknolojisi zaten var. Çoğu insan için bu bir sorun olmayacak.