Восхваляя Apple Computer Inc. для выпуск патча так быстро для уязвимости OS X, обнаруженной на прошлой неделе, заявила в понедельник охранная фирма Secunia. Пользователи Mac по-прежнему не в безопасности.
«Все еще возможно выполнить произвольный код в системе уязвимого пользователя, так же просто, как и до Apple. выпустил пятничное обновление безопасности для Mac OS X», — написал Нильс Хенрик Расмуссен (Niels Henrik Rasmussen), генеральный директор Secunia. МакЦентрал.
Поздно вечером в пятницу Apple выпустила патч, исправляющий дыру в HelpViewer — с установленным обновлением HelpViewer теперь будет обрабатывать только сценарии, которые он инициировал. Однако Расмуссен говорит, что выявились и другие уязвимости.
«Что действительно важно, так это тот факт, что Apple не устранила уязвимость «дискового» URI, которая позволяет вредоносным веб-сайтам незаметно размещать код в системе пользователя», — сказал Расмуссен. «Все должно быть в порядке, после того, как уязвимость «помощь» была устранена, но в образе диска и томе Mac OS X была обнаружена еще одна очень неприятная особенность. обработка, позволяющая образу диска зарегистрировать новый обработчик URI и связать с ним приложение — очевидно, что это приложение может быть расположено на образе диска или объем."
Результатом этого эксплойта, по словам Secunia, является то, что вредоносные веб-сайты могут использовать «диск». уязвимость так же, как и обработчик URI «help», оставляя все системы Mac OS X широко открытыми для атаки.
Представители Apple не смогли сразу прокомментировать эту историю.