ตั้งแต่ปี 2006 คอมพิวเตอร์ Mac ที่มี CPU ที่ใช้ Intel จะใช้เฟิร์มแวร์ของ Intel ที่ใช้ชุดการพัฒนา (EDK) ของอินเทอร์เฟซเฟิร์มแวร์แบบขยาย (EFI) เวอร์ชั่น 1 หรือเวอร์ชั่น 2 โค้ดที่ใช้ EDK2 เป็นไปตามข้อมูลจำเพาะของ Unified Extensible Firmware Interface (UEFI) โดยส่วนนี้จะอ้างอิงถึงเฟิร์มแวร์ Intel ว่าเป็นเฟิร์มแวร์ UEFI เฟิร์มแวร์ UEFI เป็นโค้ดแรกสำหรับเรียกใช้บนชิป Intel
สำหรับ Mac ที่ใช้ Intel ที่ไม่มีชิป Apple T2 Security รากของความเชื่อถือสำหรับเฟิร์มแวร์ UEFI จะเป็นชิปที่ใช้จัดเก็บเฟิร์มแวร์นั้น รายการอัปเดตเฟิร์มแวร์ UEFI จะลงชื่อแบบดิจิตอลโดย Apple และตรวจสอบยืนยันโดยเฟิร์มแวร์ก่อนที่จะอัปเดตพื้นที่จัดเก็บข้อมูล ในการช่วยป้องกันการโจมตีแบบย้อนกลับ รายการอัปเดตจะต้องมีเวอร์ชั่นที่ใหม่กว่าเวอร์ชั่นที่มีอยู่เสมอ อย่างไรก็ตาม ผู้โจมตีที่เข้าถึง Mac ทางกายภาพอาจสามารถใช้ฮาร์ดแวร์เพื่อเชื่อมต่อกับชิปจัดเก็บข้อมูลเฟิร์มแวร์และอัปเดตชิปเพื่อให้มีเนื้อหาที่เป็นอันตรายได้ เช่นเดียวกัน ถ้าพบช่องโหว่ในกระบวนการบูตช่วงต้นของเฟิร์มแวร์ UEFI (ก่อนที่จะจำกัดการเขียนชิปจัดเก็บข้อมูล) สิ่งนี้ยังอาจทำให้เกิดการติดไวรัสของเฟิร์มแวร์ UEFI แบบถาวรได้ด้วย นี่เป็นข้อจำกัดทางสถาปัตยกรรมของฮาร์ดแวร์ที่พบได้ทั่วไปใน PC ส่วนใหญ่ที่ใช้ Intel และมีอยู่ในคอมพิวเตอร์ Mac ที่ใช้ Intel ทุกเครื่องที่ไม่มีชิป T2
ในการช่วยป้องกันการโจมตีทางกายภาพที่ทำลายเฟิร์มแวร์ UEFI คอมพิวเตอร์ Mac มีการออกแบบใหม่ให้ความเชื่อถือมีรากฐานมาจากเฟิร์มแวร์ UEFI ในชิป T2 บนคอมพิวเตอร์ Mac เหล่านี้ รากของความเชื่อถือสำหรับเฟิร์มแวร์ UEFI จะเป็นเฟิร์มแวร์ T2 โดยเฉพาะ ตามที่อธิบายในกระบวนการบูต
องค์ประกอบย่อยของ Intel Management Engine (ME)
องค์ประกอบย่อยหนึ่งองค์ประกอบที่จัดเก็บอยู่ภายในเฟิร์มแวร์ UEFI คือเฟิร์มแวร์ Intel Management Engine (ME) หน่วยประมวลผลแบบแยกต่างหากและระบบย่อยภายในชิป Intel ที่เรียกว่า ME โดยหลักแล้วจะใช้เพื่อปกป้องลิขสิทธิ์เสียงและวิดีโอบน Mac ที่มีเฉพาะกราฟิกของ Intel เท่านั้น ในการลดพื้นหน้าของการโจมตีของส่วนประกอบย่อยนี้ให้น้อยลง Mac ที่ใช้ Intel จะใช้งานเฟิร์มแวร์ ME แบบกำหนดเองซึ่งส่วนประกอบส่วนใหญ่ได้ถูกเอาออกไปแล้ว เนื่องจากผลลัพธ์ที่ได้คือเฟิร์มแวร์ ME ของ Mac ที่มีขนาดเล็กกว่าบิลด์ขนาดเล็กที่สุดเริ่มต้นที่ Intel มีให้ใช้งาน ส่วนประกอบหลายๆ ส่วนที่เคยเป็นเป้าหมายของการโจมตีสาธารณะจากนักวิจัยด้านความปลอดภัยในอดีตก็ไม่มีอยู่อีกต่อไป
โหมดการจัดการระบบ (SMM)
หน่วยประมวลผล Intel มีโหมดการดำเนินการพิเศษซึ่งแตกต่างจากการทำงานปกติ ที่เรียกว่าโหมดการจัดการระบบ (SMM) โดยแรกเริ่มมีการนำมาใช้เพื่อจัดการกับการดำเนินงานที่มีเวลาเป็นปัจจัยสำคัญ เช่น การจัดการพลังงาน อย่างไรก็ตาม คอมพิวเตอร์ Mac ใช้ไมโครคอนโทรลเลอร์แบบแยกส่วนซึ่งเรียกว่าตัวควบคุมการจัดการระบบ (SMC) เพื่อดำเนินการทำงานดังกล่าวมานานแล้ว เนื่องจาก SMC ได้รวมเข้ากับชิป T2 แล้ว จึงไม่ใช่ไมโครคอนโทรลเลอร์แบบแยกอีกต่อไป
Community support is provided during standard business hours (Monday to Friday 7AM - 5PM PST). Other contact methods are available here.
Intel does not verify all solutions, including but not limited to any file transfers that may appear in this community. Accordingly, Intel disclaims all express and implied warranties, including without limitation, the implied warranties of merchantability, fitness for a particular purpose, and non-infringement, as well as any warranty arising from course of performance, course of dealing, or usage in trade.
For more complete information about compiler optimizations, see our Optimization Notice.