Ao elogiar a Apple Computer Inc. para lançando um patch tão rapidamente para uma vulnerabilidade do OS X descoberta na semana passada, disse a empresa de segurança Secunia na segunda-feira Usuários de Mac ainda não estão seguros.
“Ainda é possível executar código arbitrário no sistema de um usuário vulnerável, tão fácil quanto antes da Apple emitiu a atualização de segurança de sexta-feira para o Mac OS X”, disse Niels Henrik Rasmussen, CEO da Secunia, em um e-mail para MacCentral.
A Apple lançou um patch na sexta-feira que corrigiu uma falha no HelpViewer - com a atualização instalada, o HelpViewer agora processará apenas scripts iniciados por ele. No entanto, Rasmussen diz que outras vulnerabilidades surgiram.
“O que é realmente crítico é o fato de que a Apple não abordou a vulnerabilidade URI do “disco”, que permite que sites maliciosos coloquem código silenciosamente no sistema de um usuário”, disse Rasmussen. “Tudo deve ficar bem, depois que a vulnerabilidade de “ajuda” foi corrigida, mas outro recurso muito infeliz foi revelado na imagem de disco e no volume do Mac OS X manipulação, permitindo que uma imagem de disco registre um novo manipulador de URI e associe um aplicativo a ele – obviamente, esse aplicativo pode estar localizado na imagem de disco ou volume."
O resultado dessa exploração, de acordo com a Secunia, é que sites maliciosos podem explorar o “disco” vulnerabilidade da mesma forma que o manipulador de URI de “ajuda”, ainda deixando todos os sistemas Mac OS X abertos para ataques.
Representantes da Apple não estavam imediatamente disponíveis para comentar esta história.