Pokročilí uživatelé počítačů Mac, kteří se nacházejí v prostředí obzvláště silných nepřátelských hrozeb, mohou cítit potřebu povolit úplné zmírnění zranitelnosti procesoru Intel MDS na svých počítačích Mac (a PC v tomto případě). MDS je zkratka pro Microarchitectural Data Sampling (MDS), hovorově nazývané „Zombieload“ a v podstatě jde o zranitelnost samotného procesoru Intel, která by teoreticky mohla vést k tomu, že útočník získá přístup k citlivým datům na jakémkoli napadeném počítači Intel, Macu nebo PC.(Pokud pozorně sledujete bezpečnostní zprávy, zranitelnost Zombieload je něco jako bezpečnostní chyby Spectre a Meltdown v loňském roce).

Zatímco Apple aplikoval bezpečnostní záplaty na macOS Mojave 10.14.5 a Security Update 2019-003 pro High Sierra a Sierra, které by měly pomoci předejít problémům pro většinu uživatelů Maců, ostatní uživatelé Mac pracující s neobvykle zvýšeným zabezpečením riziková prostředí mohou cítit potřebu jít dále a umožnit úplné zmírnění proti MDS / Zombieload.

Povolení úplného zmírnění zranitelnosti Intel MDS zahrnuje deaktivaci hyper-threadingu na samotném CPU, což může mít za následek zhruba 40% snížení výkonu počítače. To je zjevně docela vážný zásah do výkonu, a proto by se s tím drtivá většina lidí neměla obtěžovat, protože velká většina lidí se také nebude nacházet v prostředí bezpečnostní hrozby, která by je vystavila riziku, že budou terčem tohoto druhu zranitelnosti.

Pokud vás však znepokojuje vektor útoku Zombieload / MDS na počítačích Mac s procesorem Intel, níže probereme, jak povolit úplné zmírnění útoku.

Jak povolit úplné zmírnění Zombieload / MDS na počítačích Intel Mac

Nezapomeňte, že chcete-li na Macu povolit úplné přizpůsobení pro MDS / Zombieload, musíte deaktivovat hyperthreading CPU, což má za následek vážný zásah do výkonu. Drtivá většina uživatelů Mac by se s tím neměla obtěžovat.

Upozorňujeme, že na Macu musí být spuštěn MacOS Mojave, macSO Sierra, MacOS High Sierra nebo novější.

1. Nejprve nainstalujte MacOS Mojave 10.14.5 nebo Security Update 2019 pro High Sierra nebo Security Update 2019 pro Sierra (nebo novější) na Mac
2. Přejděte do nabídky  Apple a vyberte „Restart“ pro restartování Macu
3. Okamžitě po restartu podržte Command+R, aby se Mac spustil do režimu obnovy
4. Když se dostanete na obrazovku Utilities, roztáhněte nabídku „Utilities“ na liště nabídek a vyberte „Terminal“
5. Zadejte následující příkaz a stiskněte return
"

nvram boot-args=cwae=2"

6. Poté zadejte následující příkaz a znovu stiskněte return:

nvram SMTDisable=%01

7. Přejděte do nabídky  Apple a vyberte „Restart“ pro restartování Macu

Tyto pokyny pro úplné zmírnění pocházejí přímo od společnosti Apple.

Jak vrátit úplné zmírnění MDS a povolit Hyper-Threading na Mac

Pokud chcete vrátit úplné zmírnění Zombieload / MDS a znovu povolit hyper-threading na CPU, budete muset resetovat Mac NVRAM / PRAM, aby se vymazala definovaná změna nvram provedená v úplné zmírnění. Toto je stejné na všech modelech Mac:

• Vypněte Mac
• Zapněte Mac a poté okamžitě stiskněte a podržte klávesy COMMAND OPTION PR společně
• Podržte současně klávesy COMMAND OPTION PR po dobu asi 20 sekund a poté uvolněte
• Uvolněte klávesy po zaznění druhého zazvonění (na počítačích Mac, které přehrávají zvuk spouštění) nebo po zobrazení loga Apple (Mac s čipem T2)

Mac se nyní spustí jako obvykle s resetem NVRAM, opět povoleným hyper-threadingem a úplným zmírněním MDS již není na místě.

Pokud si nejste jisti, co je nastaveno, můžete také zobrazit proměnné NVRAM na Macu z příkazového řádku.

Upozorňujeme, že pokud používáte heslo firmwaru, možná budete muset toto heslo dočasně vypnout, než budete moci účinně resetovat NVRAM.

Co je vlastně MDS / Zombieload?

Pro další informace o MDS / Zombieload a také o procesu zmírňování můžete nahlédnout do článku podpory společnosti Apple, který popisuje riziko MDS a úplné zmírnění následovně:

Povolení úplného zmírnění navíc zahrnuje deaktivaci hyper-threadingu na procesoru Intel, což může dramaticky snížit výkon. Apple to popisuje následovně:

Mohlo by vás také zajímat další informace o vzorkování mikroarchitekturních dat (MDS) přímo od společnosti Intel zde na Intel.com.

Dalším zdrojem informací o Zombieload / MDS je zde oficiální webová stránka Zombieload Attack, kterou vytvořili výzkumníci, kteří našli bezpečnostní zranitelnost. Níže uvedené video od těchto bezpečnostních výzkumníků ukazuje, že útok Zombieload byl použit ke shromažďování informací z cíleného stroje navzdory použití TOR obsaženého ve virtuálním stroji (vážné bezpečnostní fuj!).

Většina uživatelů počítačů Mac (a PC) se opět nebude muset těmito zranitelnostmi zabezpečení přehnaně obávat a pravděpodobně se nebude muset obtěžovat s úplným zmírněním deaktivací hyper-threadingu. Jednoduchá instalace macOS Mojave 10.14.5 a příslušné aktualizace zabezpečení 2019-003 pro High Sierra a/nebo Sierra pomáhá odvrátit potenciální rizika pro většinu uživatelů Macu. A jako vždy se ujistěte, že nikdy neinstalujete žádný útržkovitý nebo nedůvěryhodný software, protože by to také mělo výrazně pomoci, protože téměř všechny tyto typy zranitelností spoléhají na to, že se v první řadě zakoření nějaká forma malwaru.