Foro di sicurezza nella password del firmware installando un altro boot loader?

Sì, ma questo non è particolarmente un problema con rEFIt, è intrinseco al modo in cui la password del firmware e l'accesso all'amministratore sono in relazione tra loro: se ne hai uno, puoi prendere il controllo dell'altro. Ad esempio, se si dispone dell'accesso di amministratore, è possibile disabilitare o modificare la password del firmware con il comando nvram, è inoltre possibile modificare il volume di avvio con Preferenze di sistema, ignorando in modo efficace la protezione della password del firmware.

Fondamentalmente, la password del firmware è lì per proteggere l'integrità del computer fino all'avvio del sistema operativo e può iniziare a far rispettare la sua idea dei controlli di accesso, a quel punto le password di amministratore sono il controllo pertinente. Non pensare alla password del firmware come controllo di livello superiore, è più di un supplemento.

Sì, purtroppo è corretto, anche se è necessario un accesso di amministratore per installare un caricatore EFI per aggirare la maggior parte degli account non hanno accesso root e in quanto tale è possibile avere un account amministratore con una password ma una password di root completamente diversa. Oppure puoi semplicemente negare l'accesso al tuo account root e creare un'altra password di root.

Per aggiungere questo, le password del firmware non sono molto forti per cominciare. Se avessi accesso fisico al tuo portatile, posso semplicemente resettare la PRAM e la tua password è nullo. Non dovrebbe essere molto strong (ad essere onesti non vedo alcun punto in esso).