Beskyttelser for direkte minnetilgang for Macer
For å oppnå høye overføringshastigheter på høyhastighetsgrensesnitt som PCIe, FireWire, Thunderbolt og USB, må datamaskiner ha støtte for direkte minnetilgang (DMA) fra eksterne enheter. Det vil si at de må kunne lese og skrive til RAM uten å kontinuerlig involvere prosessoren. Siden 2012 har Macer implementert en lang rekke teknologier for å beskytte mot angrep via DMA, noe som har ført til det beste og mest omfattende settet med DMA-beskyttelser på noen PC.
Beskyttelser for direkte minnetilgang for Macer med Apple-chip
Apples System on Chip (SoC) inneholder en IOMMU (Input/Output Memory Management Unit) for hver DMA-agent i systemet, inkludert PCIe og Thunderbolt-porter. Siden hver IOMMU har sitt eget sett med adresseoversettingstabeller for å oversette DMA-forespørsler, har eksterne enheter som er koblet til via PCIe eller Thunderbolt, kun tilgang til deler av minnet som eksplisitt har blitt tilordnet for deres bruk. Eksterne enheter har ikke tilgang til minne som tilhører andre deler av systemet, som kjernen eller firmware, eller minne som er tilordnet andre eksterne enheter. Hvis en IOMMU oppdager at en ekstern enhet forsøker å få tilgang til minne som ikke er tilordnet for bruk av den eksterne enheten, utløser den en kjernepanikk.
Beskyttelser for direkte minnetilgang for Intel-basert Macer
Intel-baserte Macer med Intel Virtualization Technology for Directed I/O (VT-d) initialiserer IOMMU, noe som aktiverer DMA-omadressering og omadressering av avbrudd svært tidlig i oppstartsprosessen, for å redusere diverse klasser med sikkerhetssårbarheter. Apples IOMMU-maskinvare begynner operasjonen med et default-deny-regelsett. Straks systemet slås på, begynner den automatisk å blokkere DMA-forespørsler fra eksterne enheter. Etter at IOMMU-ene initialiseres av programvare begynner de å tillate DMA-forespørsler fra eksterne enheter til minneområder som har blitt eksplisitt tilordnet for deres bruk.
Merk: Omadressering av avbrudd for PCIe er ikke nødvendig på Macer med Apple-chip siden hver IOMMU håndterer MSI-er for sine egne eksterne enheter.
Fra og med macOS 11 kjører også alle Macer med Apple T2-sikkerhetsbrikke UEFI-drivere som støtter DMA i et begrenset ring 3-miljø når disse driverne brukes sammen med eksterne enheter. Denne egenskapen bidrar til å redusere sikkerhetssårbarheter som kan oppstå når en ondsinnet enhet samhandler med en UEFI-driver på en uventet måte ved oppstart. Den reduserer særlig innvirkningen av sårbarheter i en drivers håndtering av DMA-buffere.