Mens han berømmet Apple Computer Inc. til gir ut en oppdatering så raskt for en OS X-sårbarhet oppdaget forrige uke, sa sikkerhetsfirmaet Secunia mandag Mac-brukere er fortsatt ikke trygge.
"Det er fortsatt mulig å kjøre vilkårlig kode på en sårbar brukers system, like enkelt som før Apple utstedte fredagens sikkerhetsoppdatering for Mac OS X," sa Niels Henrik Rasmussen, administrerende direktør i Secunia, i en e-post til MacCentral.
Apple ga ut en oppdatering sent på fredag som fikset et hull i HelpViewer - med oppdateringen installert, vil HelpViewer nå bare behandle skript som den startet. Rasmussen sier imidlertid at andre sårbarheter har kommet frem.
"Det som virkelig er kritisk er det faktum at Apple ikke tok tak i "disk" URI-sårbarheten, som lar ondsinnede nettsteder stille inn kode på en brukers system, sa Rasmussen. "Alt skal være i orden, etter at "hjelp"-sårbarheten er fikset, men en annen svært uheldig funksjon har blitt avslørt i Mac OS X-diskbilde og -volum håndtering, tillate et diskbilde å registrere en ny URI-behandler og knytte en applikasjon til denne – åpenbart kan denne applikasjonen være plassert på diskbildet eller volum."
Resultatet av denne utnyttelsen, ifølge Secunia, er at ondsinnede nettsteder kan utnytte "disken" sårbarhet på samme måte som "hjelp" URI-behandleren, og fortsatt lar alle Mac OS X-systemer stå åpne for angrep.
Representanter fra Apple var ikke umiddelbart tilgjengelige for å kommentere denne historien.