Macs, die vor Sommer 2014 erstmals verkauft wurden, sind von einer Sicherheitslücke bedroht, die es erlaubt, die Firmware zu überschreiben und somit ein Rootkit zu installieren, das auch eine Neuinstallation von OS X überlebt. Bislang gibt es für die betroffenen Rechner noch keine Lösung.
Der Sicherheitsforscher Pedro Vilaca hat eine Möglichkeit gefunden, die Firmware von Macs zu überschreiben und somit Schadsoftware auf dem Mac zu platzieren, ohne dass der Besitzer davon etwas mitbekommt oder etwas dagegen tun kann. Der Code wird dabei nicht auf der Festplatte abgelegt, was bedeutet, dass eine Neuinstallation von OS X sinnlos ist.
Die ausgenutzte Lücke dafür ist von der Sache her schon bekannt. Schon früher wurde eine Methode öffentlich, bei der mit einem Anschluss eines Thunderbolt-Geräts die Firmware modifiziert werden konnte. Dafür war aber ein physischer Zugriff auf den Rechner notwendig, womit das Problem dann doch eher ein theoretisches war. Neu ist, dass dieser physische Zugriff nicht mehr nötig ist. Es genügt eine Sicherheitslücke in einem beliebigen Programm, beispielsweise Safari, um Code auf den Rechner einzuschleusen, der die EFI-Firmware überschreibt.
Die EFI-Firmware ist normalerweise nicht überschreibbar („read-only“), aber bei Macs, die vor Sommer 2014 erstmals verkauft wurden, wird dieser Schutz beim Aufwecken der Rechner aufgehoben. Warum das so ist, ist nicht bekannt. Untersuchungen haben gezeigt, dass Macs, die nach Sommer 2014 in den Verkauf kamen, für diesen Angriff nicht mehr anfällig sind. Ältere Macs könnten theoretisch auch gepatcht werden, aber Apple hat bislang noch keine neue Firmware veröffentlicht.
Der Umkehrschluss lautet derzeit daher, dass nur diejenigen Macs vor der Lücke sicher sind, die niemals in den Ruhezustand wechseln. Allerdings geht Vilaca davon aus, dass die Lücke wenn dann nur gegen bestimmte Besitzer eingesetzt wird und ein flächendeckender Angriff nicht zu erwarten ist.