Ylistäen Apple Computer Inc.:tä. varten laastarin julkaiseminen niin nopeasti viime viikolla löydetyn OS X: n haavoittuvuuden vuoksi, turvallisuusyritys Secunia sanoi maanantaina Mac-käyttäjät eivät ole vieläkään turvassa.
"On edelleen mahdollista suorittaa mielivaltaista koodia haavoittuvan käyttäjän järjestelmässä, aivan yhtä helppoa kuin ennen Applea julkaisi perjantain tietoturvapäivityksen Mac OS X: lle", Secunian toimitusjohtaja Niels Henrik Rasmussen sanoi sähköpostissa MacCentral.
Apple julkaisi myöhään perjantaina korjaustiedoston, joka korjasi aukon HelpViewerissa – päivityksen asennettuna HelpViewer käsittelee nyt vain käynnistämänsä skriptit. Rasmussen kertoo kuitenkin, että muitakin haavoittuvuuksia on tullut ilmi.
"On todella kriittistä se tosiasia, että Apple ei puuttunut "levyn" URI-haavoittuvuuteen, jonka ansiosta haitalliset verkkosivustot voivat sijoittaa koodia hiljaa käyttäjän järjestelmään", Rasmussen sanoi. "Kaiken pitäisi olla kunnossa, kun "apu"-haavoittuvuus on korjattu, mutta toinen erittäin valitettava ominaisuus on paljastunut Mac OS X -levykuvassa ja -taltiossa käsittely, jolloin levykuvan sallitaan rekisteröidä uusi URI-käsittelijä ja liittää siihen sovellus – ilmeisesti tämä sovellus voi sijaita levykuvassa tai äänenvoimakkuus."
Secunian mukaan tämän hyväksikäytön tulos on se, että haitalliset verkkosivustot voivat hyödyntää "levyä" haavoittuvuus samalla tavalla kuin "apu" URI-käsittelijä, jättäen silti kaikki Mac OS X -järjestelmät avoimeksi hyökkäyksiä.
Applen edustajat eivät olleet heti käytettävissä kommentoimaan tätä tarinaa.