În timp ce lăuda Apple Computer Inc. pentru eliberând un plasture atât de repede pentru o vulnerabilitate OS X descoperită săptămâna trecută, a declarat luni firma de securitate Secunia Utilizatorii de Mac încă nu sunt în siguranță.
„Este încă posibil să executați cod arbitrar pe sistemul unui utilizator vulnerabil, la fel de ușor ca înainte Apple a emis actualizarea de securitate de vineri pentru Mac OS X”, a declarat Niels Henrik Rasmussen, CEO al Secunia, într-un e-mail către MacCentral.
Apple a lansat vineri seara un patch care a remediat o gaură în HelpViewer - cu actualizarea instalată, HelpViewer va procesa acum doar scripturile pe care le-a inițiat. Cu toate acestea, Rasmussen spune că și alte vulnerabilități au ieșit la iveală.
„Ceea ce este cu adevărat critic este faptul că Apple nu a abordat vulnerabilitatea URI „disc”, care permite site-urilor web rău intenționate să plaseze în tăcere cod în sistemul unui utilizator”, a spus Rasmussen. „Totul ar trebui să fie în regulă, după ce vulnerabilitatea „ajutor” a fost remediată, dar o altă caracteristică foarte nefericită a fost dezvăluită în imaginea și volumul discului Mac OS X manipulare, permițând unei imagini de disc să înregistreze un nou handler URI și să asocieze o aplicație cu acesta – evident această aplicație poate fi localizată pe imaginea de disc sau volum."
Rezultatul acestui exploit, potrivit Secunia, este că site-urile web rău intenționate pot exploata „discul” vulnerabilitate în același mod ca manerul URI „ajutor”, lăsând totuși toate sistemele Mac OS X larg deschise pentru atacuri.
Reprezentanții Apple nu au fost imediat disponibili pentru a comenta această poveste.