安全公司Duo Security宣布，2015年苹果在Mac操作系统更新程序中，捆绑了固件更新补丁，目标是确保固件处在最新状态。不过在这些固件更新中却藏有漏洞，给黑客造就了可乘之机。苹果Mac固件爆漏洞（图片来自baidu） Du

安全公司Duo Security宣布，2015年苹果在Mac操作系统更新程序中，捆绑了固件更新补丁，目标是确保固件处在最新状态。不过在这些固件更新中却藏有漏洞，给黑客造就了可乘之机。

苹果Mac固件爆漏洞（图片来自baidu）

      Duo在真实世界调查了7.3万台Mac计算机，发现当中约有4.2%安装的固件与操作系统不匹配。例如，在一些Mac机型中（比如2015年年末发布的21.5英寸iMac）约有43%使用过时固件。这样一来，许多Mac就为黑客攻击敞开了大门，比如Thunderstrike攻击，只要用户将以太网适配器插入“Thunderbolt”接口，黑客就可以控制Mac。

　　据Duo公司研发主管里奇·史密斯（Rich Smith）表示，目前只能寻找可能存在漏洞的机器，在众多的计算机制造商中，只有苹果尝试将固件更新放进常规软件更新程序，这样追踪起来更方便，苹果的固件更新服务也是行业最好的。

　　对此苹果发表声明称，公司已经察觉问题的存在，正在解决。声明称：“在固件安全领域，苹果一直很重视，我们不断在寻找办法让系统安全更上层楼。在固件安全方面，为了向用户提供更安全的体验，macOS High Sierra每周会对Mac固件自动验证。”