Terwijl hij Apple Computer Inc. voor een patch uitbrengen zo snel voor een OS X-kwetsbaarheid die vorige week werd ontdekt, zei beveiligingsbedrijf Secunia maandag Mac-gebruikers zijn nog steeds niet veilig.
“Het is nog steeds mogelijk om willekeurige code uit te voeren op het systeem van een kwetsbare gebruiker, net zo eenvoudig als voor Apple heeft de beveiligingsupdate voor Mac OS X van vrijdag uitgebracht”, zei Niels Henrik Rasmussen, CEO van Secunia, in een e-mail aan MacCentraal.
Apple heeft laat op vrijdag een patch uitgebracht die een gat in HelpViewer repareerde - met de update geïnstalleerd, zal HelpViewer nu alleen scripts verwerken die het heeft geïnitieerd. Rasmussen zegt echter dat er andere kwetsbaarheden aan het licht zijn gekomen.
"Wat echt cruciaal is, is het feit dat Apple de URI-kwetsbaarheid van de schijf niet heeft aangepakt, waardoor kwaadwillende websites in stilte code op het systeem van een gebruiker kunnen plaatsen", aldus Rasmussen. "Alles zou in orde moeten zijn, nadat de "help"-kwetsbaarheid is verholpen, maar er is een andere zeer ongelukkige functie onthuld in Mac OS X-schijfkopie en -volume afhandeling, waardoor een schijfkopie een nieuwe URI-handler kan registreren en een toepassing hieraan kan koppelen - uiteraard kan deze toepassing zich op de schijfkopie bevinden of volume."
Het resultaat van deze exploit is volgens Secunia dat kwaadwillende websites de "schijf" kunnen misbruiken kwetsbaarheid op dezelfde manier als de "help" URI-handler, waarbij alle Mac OS X-systemen nog steeds wijd open blijven staan aanvallen.
Vertegenwoordigers van Apple waren niet direct beschikbaar voor commentaar op dit verhaal.