Pur lodando Apple Computer Inc. per rilascio di una patch così rapidamente per una vulnerabilità di OS X scoperta la scorsa settimana, ha detto lunedì la società di sicurezza Secunia Gli utenti Mac non sono ancora al sicuro.
“È ancora possibile eseguire codice arbitrario sul sistema di un utente vulnerabile, facile come prima di Apple rilasciato l'aggiornamento di sicurezza di venerdì per Mac OS X", ha dichiarato Niels Henrik Rasmussen, CEO di Secunia, in una e-mail a MacCentral.
Apple ha rilasciato una patch venerdì scorso che ha risolto un buco in HelpViewer: con l'aggiornamento installato, HelpViewer ora elaborerà solo gli script che ha avviato. Tuttavia, Rasmussen afferma che sono emerse altre vulnerabilità.
"Ciò che è veramente critico è il fatto che Apple non ha affrontato la vulnerabilità dell'URI del "disco", che consente ai siti Web dannosi di inserire silenziosamente codice nel sistema di un utente", ha affermato Rasmussen. "Dovrebbe essere tutto a posto, dopo che la vulnerabilità "help" è stata corretta, ma un'altra caratteristica molto sfortunata è stata rivelata nell'immagine e nel volume del disco di Mac OS X gestione, consentendo a un'immagine del disco di registrare un nuovo gestore URI e associare un'applicazione con questo - ovviamente questa applicazione può trovarsi sull'immagine del disco o volume."
Il risultato di questo exploit, secondo Secunia, è che i siti Web dannosi possono sfruttare il "disco" vulnerabilità allo stesso modo del gestore URI "help", lasciando comunque aperti tutti i sistemi Mac OS X attacchi.
I rappresentanti di Apple non erano immediatamente disponibili per commentare questa storia.