Mientras elogiaba a Apple Computer Inc. para lanzando un parche tan rápido para una vulnerabilidad de OS X descubierta la semana pasada, dijo el lunes la firma de seguridad Secunia Los usuarios de Mac aún no están seguros.
“Todavía es posible ejecutar código arbitrario en el sistema de un usuario vulnerable, tan fácil como antes Apple emitió la actualización de seguridad del viernes para Mac OS X”, dijo Niels Henrik Rasmussen, CEO de Secunia, en un correo electrónico a Mac Central.
Apple lanzó un parche el viernes por la noche que arregló un agujero en HelpViewer: con la actualización instalada, HelpViewer ahora solo procesará los scripts que inició. Sin embargo, Rasmussen dice que han salido a la luz otras vulnerabilidades.
“Lo que es realmente crítico es el hecho de que Apple no abordó la vulnerabilidad URI del “disco”, que permite que los sitios web maliciosos coloquen silenciosamente código en el sistema de un usuario”, dijo Rasmussen. "Todo debería estar bien, después de que se haya solucionado la vulnerabilidad de "ayuda", pero se ha revelado otra característica muy desafortunada en la imagen y el volumen del disco de Mac OS X. manejo, lo que permite que una imagen de disco registre un nuevo controlador de URI y asocie una aplicación con este; obviamente, esta aplicación puede ubicarse en la imagen de disco o volumen."
El resultado de este exploit, según Secunia, es que los sitios web maliciosos pueden explotar el “disco” vulnerabilidad de la misma manera que el controlador URI de "ayuda", dejando todos los sistemas Mac OS X abiertos para ataques
Los representantes de Apple no estuvieron disponibles de inmediato para comentar esta historia.