Отключить orom в прошивкеpasswd Catalina

Question

Начиная с Catalina, macOS помещает все OROM в песочницу и принудительно запускает их на кольце 3. До этого она вообще не позволяла им запускаться, если только пользователь не заставлял их это делать.

ОтБезопасность платформы Apple — безопасность дополнительного ПЗУ в macOS

В macOS 10.15 прошивка UEFI была обновлена, чтобы содержать механизм для изоляции OROM и для снятия с них привилегий. Прошивка UEFI обычно выполняет весь код, включая OROM, на максимальном уровне привилегий ЦП, называемом кольцом 0, и имеет единое общее пространство виртуальной памяти для всего кода и данных. Кольцо 0 — это уровень привилегий, на котором работает ядро macOS, тогда как на более низком уровне привилегий, кольце 3, запускаются приложения. Песочница OROM лишила OROM привилегий, используя разделение виртуальной памяти, как это делает ядро, а затем заставив OROM работать в кольце 3.

Песочница еще больше ограничивает как интерфейсы, которые OROM могут вызывать (подобно фильтрации системных вызовов в ядрах), так и тип устройства, которое OROM может зарегистрировать (подобно одобрению приложений). Преимущество этой конструкции в том, что вредоносные OROM больше не могут напрямую писать куда-либо в пределах памяти кольца 0. Вместо этого они ограничены очень узким и четко определенным интерфейсом песочницы. Этот ограниченный интерфейс значительно сокращает поверхность атаки и заставляет злоумышленников сначала выходить из песочницы и повышать привилегии.

Из этого не ясно, firmwarepasswdбыла ли утилита изменена, чтобы вообще предотвратить взаимодействие с пользователем, или это теперь жестко закодировано. Это может объяснить, почему ваши попытки лишить привилегий не увенчались успехом.

Answer 1

Начиная с Catalina, macOS помещает все OROM в песочницу и принудительно запускает их на кольце 3. До этого она вообще не позволяла им запускаться, если только пользователь не заставлял их это делать.

ОтБезопасность платформы Apple — безопасность дополнительного ПЗУ в macOS

В macOS 10.15 прошивка UEFI была обновлена, чтобы содержать механизм для изоляции OROM и для снятия с них привилегий. Прошивка UEFI обычно выполняет весь код, включая OROM, на максимальном уровне привилегий ЦП, называемом кольцом 0, и имеет единое общее пространство виртуальной памяти для всего кода и данных. Кольцо 0 — это уровень привилегий, на котором работает ядро macOS, тогда как на более низком уровне привилегий, кольце 3, запускаются приложения. Песочница OROM лишила OROM привилегий, используя разделение виртуальной памяти, как это делает ядро, а затем заставив OROM работать в кольце 3.

Песочница еще больше ограничивает как интерфейсы, которые OROM могут вызывать (подобно фильтрации системных вызовов в ядрах), так и тип устройства, которое OROM может зарегистрировать (подобно одобрению приложений). Преимущество этой конструкции в том, что вредоносные OROM больше не могут напрямую писать куда-либо в пределах памяти кольца 0. Вместо этого они ограничены очень узким и четко определенным интерфейсом песочницы. Этот ограниченный интерфейс значительно сокращает поверхность атаки и заставляет злоумышленников сначала выходить из песочницы и повышать привилегии.

Из этого не ясно, firmwarepasswdбыла ли утилита изменена, чтобы вообще предотвратить взаимодействие с пользователем, или это теперь жестко закодировано. Это может объяснить, почему ваши попытки лишить привилегий не увенчались успехом.

Отключить orom в прошивкеpasswd Catalina

решение1

Связанный контент