Mac os прошивка efi

Безопасность прошивки UEFI на компьютере Mac с процессором Intel

Обзор

Начиная с 2006 г. на компьютерах Mac с процессором Intel используется прошивка Intel на основе комплекта разработчика (EDK) расширяемого интерфейса прошивки (EFI) версии 1 или 2. Код на основе EDK2 соответствует спецификации Унифицированного расширяемого интерфейса прошивки (UEFI). В этом разделе прошивка Intel называется прошивкой UEFI. Прошивка UEFI была первым кодом, исполняемым на чипе Intel.

Для компьютера Mac с процессором Intel без чипа безопасности Apple T2 корнем доверия для прошивки UEFI является чип, в котором хранится прошивка. Обновления прошивки UEFI подписываются компанией Apple и проверяются прошивкой перед обновлением версии в хранилище. Версия обновления должна быть всегда новее текущей установленной версии. Это помогает предотвращать атаки методом отката. Однако злоумышленник с физическим доступом к Mac может подключиться к чипу хранилища прошивки с помощью аппаратных средств и обновить чип, записав в него вредоносный контент. Кроме того, если уязвимости будут обнаружены на раннем этапе процесса загрузки прошивки UEFI (до того, как она начинает ограничивать запись в чип хранилища), это также может привести к устойчивому заражению прошивки UEFI. Это аппаратное архитектурное ограничение, свойственное большинству ПК на базе процессоров Intel, имеется во всех компьютерах Mac с процессором Intel без чипа T2.

Чтобы защититься от физических атак на прошивку UEFI, компания Apple изменила архитектуру компьютеров Mac, заложив корень доверия в прошивку UEFI в чипе T2. На этих компьютерах Mac корнем доверия для прошивки UEFI является именно прошивка T2, как описано в разделе Процесс загрузки компьютера Mac с процессором Intel.

Подсистема Intel Management Engine (ME)

Одной из подсистем, которые хранятся в прошивке UEFI, является прошивка Intel Management Engine (ME). Подсистему ME, которая представляет собой отдельный процессор и подсистему в чипах Intel, можно использовать для удаленного управления, защищенной передачи аудио и видео и повышения безопасности на компьютере Mac, на котором установлен только графический процессор Intel. Для того чтобы сократить атакуемую поверхность подсистемы, компьютеры Mac с процессором Intel используют специальную прошивку ME, из которой было удалено большинство компонентов. Так как получаемая прошивка ME для компьютера Mac меньше, чем минимальная стандартная сборка, выпускаемая Intel, многие системы, которые ранее подвергались открытым атакам со стороны специалистов по обнаружению уязвимостей, теперь отсутствуют.

Режим управления системой (SMM)

У процессоров Intel есть специальный режим выполнения, который отличается от обычной работы. Этот режим, называемый режимом управления системой (SMM), изначально разрабатывался для выполнения таких операций с жесткими временными ограничениями, как управление питанием. Однако для выполнения таких действий на компьютерах Mac всегда использовался отдельный микроконтроллер, называемый контроллером управления системой (SMC). SMC больше не является отдельным микроконтроллером: он интегрирован в чип T2.

Источник

Безопасность прошивки UEFI на компьютере Mac с процессором Intel

Обзор

Начиная с 2006 г. на компьютерах Mac с процессором Intel используется прошивка Intel на основе комплекта разработчика (EDK) расширяемого интерфейса прошивки (EFI) версии 1 или 2. Код на основе EDK2 соответствует спецификации Унифицированного расширяемого интерфейса прошивки (UEFI). В этом разделе прошивка Intel называется прошивкой UEFI. Прошивка UEFI была первым кодом, исполняемым на чипе Intel.

Для компьютера Mac с процессором Intel без чипа безопасности Apple T2 корнем доверия для прошивки UEFI является чип, в котором хранится прошивка. Обновления прошивки UEFI подписываются компанией Apple и проверяются прошивкой перед обновлением версии в хранилище. Версия обновления должна быть всегда новее текущей установленной версии. Это помогает предотвращать атаки методом отката. Однако злоумышленник с физическим доступом к Mac может подключиться к чипу хранилища прошивки с помощью аппаратных средств и обновить чип, записав в него вредоносный контент. Кроме того, если уязвимости будут обнаружены на раннем этапе процесса загрузки прошивки UEFI (до того, как она начинает ограничивать запись в чип хранилища), это также может привести к устойчивому заражению прошивки UEFI. Это аппаратное архитектурное ограничение, свойственное большинству ПК на базе процессоров Intel, имеется во всех компьютерах Mac с процессором Intel без чипа T2.

Чтобы защититься от физических атак на прошивку UEFI, компания Apple изменила архитектуру компьютеров Mac, заложив корень доверия в прошивку UEFI в чипе T2. На этих компьютерах Mac корнем доверия для прошивки UEFI является именно прошивка T2, как описано в разделе Процесс загрузки компьютера Mac с процессором Intel.

Подсистема Intel Management Engine (ME)

Одной из подсистем, которые хранятся в прошивке UEFI, является прошивка Intel Management Engine (ME). Подсистему ME, которая представляет собой отдельный процессор и подсистему в чипах Intel, можно использовать для удаленного управления, защищенной передачи аудио и видео и повышения безопасности на компьютере Mac, на котором установлен только графический процессор Intel. Для того чтобы сократить атакуемую поверхность подсистемы, компьютеры Mac с процессором Intel используют специальную прошивку ME, из которой было удалено большинство компонентов. Так как получаемая прошивка ME для компьютера Mac меньше, чем минимальная стандартная сборка, выпускаемая Intel, многие системы, которые ранее подвергались открытым атакам со стороны специалистов по обнаружению уязвимостей, теперь отсутствуют.

Режим управления системой (SMM)

У процессоров Intel есть специальный режим выполнения, который отличается от обычной работы. Этот режим, называемый режимом управления системой (SMM), изначально разрабатывался для выполнения таких операций с жесткими временными ограничениями, как управление питанием. Однако для выполнения таких действий на компьютерах Mac всегда использовался отдельный микроконтроллер, называемый контроллером управления системой (SMC). SMC больше не является отдельным микроконтроллером: он интегрирован в чип T2.

Источник

Обновление EFI Firmware для большинства Мас

Если вы – счастливый обладатель любой из вышеперечисленных машин, вы можете захотеть воспользоваться этим обновлением ПО – через Software Update (или вручную из Apple Downloads). Вот что при этом вы получите, исходя из обещаний разработчиков:

«Это обновление повышает надежность загрузки из сети; устраняет проблему, которая может препятствовать идентификации HDCP после загрузки; также решает проблему выбора загрузочного устройства при подключенном через USB устройстве хранения данных».

Новости, статьи и анонсы публикаций

Свободное общение и обсуждение материалов

Лонгриды для вас

Apple будет снимать блокировку с iPhone на базе старых версий iOS по запросу спецслужб. Компании будет достаточно одного ордера. Хотя раньше в Купертино клялись, что пароли от iPhone хранятся на самих iPhone и никогда не покидают их пределов

В новом MacBook Pro 2021 года будет еще одно важное нововведение, и мы сейчас говорим не про чип M1X или M2. Впервые за много лет Apple уберет логотип спереди, чтобы увеличить площадь экрана ноутбука.

Что общего между Night Shift и экономией заряда? Обе этих функции недолюбливают. Разобрались, чем хороша эта функция, почему ее не стоит путать с True Tone и помогает ли она заснуть

Источник

Как обновить прошивку MacBook pro EFI вручную?

Короче говоря, прошивка не может быть обновлена ​​либо путем обновления macOS до High Sierra, либо путем благословения вручную. Здесь идет деталь.

My MacBook pro информация:

Попытка 1 — обновить ее, обновив macOS с 10.12.6 по 10.13.2

Не удалось выполнить сообщение об ошибке «Произошла ошибка при проверке прошивки». Основная информация в ia.log следующая.

ПЗУ не поддерживает APFS

Очистка системы автоматизации и попытка опрокинуться.

Не удалось получить диск для UUID, указанный для rebless.

Операция: Не удалось проверить прошивку, Ошибка Причина: Ошибка Домен = com.apple.osinstall Код = 512

Если вы просматриваете предыдущий журнал обновления EFI, кажется, что они вполне нормальные.

EFI currentVersion: [0000000000D30008] EFI updateVersion: [0000000000D70000]

/Volumes/bless.YdD7/EFI/APPLE/FIRMWARE/MBP91_00D7_B00.scap успешно создан

Запись обновления встроенного программного обеспечения установленного файла cookie (/Объемы /MacSSD /macOS Установка данных /.FirmwareUpdateInstalled)

/usr /libexec /efiupdater закончил со статусом: 0

Таким образом, я не знаю, почему установщик High Sierra не смог обновить прошивку EFI в первый раз.

Попытка 2 — обновить прошивку EFI вручную

В соответствии с разделом 2.0 Как обновляет Mac свою прошивку EFI и amp; Как найти версию EFI Apple, EFI , с помощью следующей команды благодать , файл MBP91_00D3_B0C_LOCKED.scap извлечен из mac2015002efiupdate. dmg , который загружен с Apple.com, а файл MBP91_00D7_B00.scap извлечен из Установить macOS High Sierra.app , он успешно выполнен.

Выключение, включение. Он получил мигающий светодиодный индикатор, указывающий, что прошивка скоро будет обновлена. Затем, в 3 раза автоматически выключается автоматически в течение короткого периода времени, заканчивается обычным запуском OS X. Все остается неподвижным. Другими словами, версия Boot ROM не была изменена.

Обновление @ 11 января 2018 года:

Мне кажется, что это связано с сообщением Есть ли способ вручную сохранить прошивку, когда основной диск является внешним?

Похоже, что основная причина заключается в запуске OS X со второго внутреннего диска. К сожалению, первый из моих MacBook вышел из строя.

Обновление @ 13 января 2018:

Подтверждено, что следующие методы не работают.

• заменил Samsung SSD на оригинальный жесткий диск Apple и попытался снова. Ia.log был таким же, как у SSD
• подключен внутренний жесткий диск, подключен внешний USB-накопитель или считыватель SXCARD. Он выбрал ESP на внутреннем жестком диске в качестве промежуточной EFI. Таким образом, тот же результат, что и выше.
• отключите все внутренние жесткие диски, подключите внешний USB-накопитель и считыватель SXCARD. Получил журнал как

Не найдено соответствующего ESP. Ошибка при записи прошивки для EFI.

Источник

[FAQ] Откат прошивки EFI на Mac

Если вы хотите увидеть на нашем сайте ответы на интересующие вас вопросы обо всём, что связано с техникой, программами и сервисами Apple, iOS или Mac OS X, iTunes Store или App Store, задавайте их на форуме AppStudio. Ответы на самые интересные из них будут появляться в материалах данной рубрики. К нам поступил следующий вопрос:

Здравствуйте,у Вас есть архив прошивок SMC и EFi для макбук?Очень нужны предыдущие на MBP MC374.Еще,как залить SMC разобрался,нуждаюсь в информации как
залить EFI принудительно.Спасибо.

Собирать архив апдейтов EFI и SMC – дело крайне трудное. Во-первых, слишком много моделей Маков нужно охватить, потому что даже в рамках одного поколения одного устройства для разных его подвидов выпускаются разные обновления (например, 13 и 15-дюймовые ноуты могут работать на разных прошивках EFI). Во-вторых, такой архив всё равно будет бесполезен во многих случаях, потому что Apple не публикует исходные версии EFI и SMC, которые ставятся на новые компьютеры на заводах. В том случае, если вы, скажем, купили себе новый Мак, поставили апдейт EFI и столкнулись с проблемами, вернуться на первоначальную версию EFI вы не сможете.

Что касается второй части вашего вопроса – на Маках (в отличие от iOS, где царит настоящая тирания) Apple не запрещает даунгрейд EFI. Все проверки версий встроены только в установщик апдейта прошивки, и если ваш Мак их проходит, запускается скрипт, указывающий системе, что при следующей загрузке нужно обновить EFI из специального образа. Скрипт состоит из одной команды, которую можно ввести в Терминале вручную. Но свобода всегда имеет цену. Чрезвычайно важно понимать, что откат прошивки EFI – это САМАЯ опасная операция, которую только можно устроить на Маке. Если вы перепутаете образ EFI-прошивки и инициируете апдейт прошивкой от неверного поколения или, что ещё хуже, от другой модели Мака, дело ничем хорошим не кончится, и даже в авторизованном сервисном центре вам вряд ли смогут помочь. Компьютер рискует перестать включаться вообще, раз и навсегда. В общем, мы вас предупредили.

Если желание экспериментировать не пропало, то вот краткая инструкция по откату EFI на Маке:

• вам нужно раздобыть установщик EFI, например, отсюда
• современные установщики запакованы в формат PKG и лежат внутри обычного DMG-образа, монтируемого двойным кликом:

• вам нужно будет влезть внутрь PKG-установщика, например, с помощью утилиты Pacifist
• доберитесь до самого последнего уровня вложенности – там вы обнаружите файл с расширением SCAP. Это и есть образ EFI

• извлеките его на рабочий стол
• ещё раз прочитайте наш предупреждающий абзац о последствиях ошибки. Проверьте, тот ли файл EFI вы собрались использовать
• если вы убеждены, что всё в порядке, запустите Терминал и введите команду:

/usr/sbin/bless -mount / -firmware

/Desktop/MBP111_0138_B03_LOCKED.scap —recovery —verbose

• после нажатия Enter нужно будет ввести в Терминале пароль от вашего аккаунта вслепую, нажать Enter ещё раз и перезагрузить Мак. Вместо обычной загрузки начнётся перепрошивка EFI, которая займёт около минуты и закончится ещё одной автоматической перезагрузкой
• если потом Мак включится и покажет вам что-нибудь – можете считать процедуру успешно законченной

Мы бы не рекомендовали экспериментировать с прошиванием EFI вручную. Это крайне рискованная процедура, а вероятность того, что даунгрейд EFI решит ваши аппаратные проблемы (вроде мерцания экрана или пропадания звука) крайне мала.

Источник