我们昨天报道过,apple推出了一个升级包,修补了mac os x系统的20个漏洞。(见macos x曝高危漏洞,apple急发升级包)。
这个补丁是在上周推出的,不过有专家称,这个补丁并不能完全的修正mac os x中一个倍受瞩目的缺陷。
这个更新在safari浏览器,apple mail客户端和ichat即时通讯五金|工具中增加了一个名为“下载验证”的功能。这个功能在用户点击某个可能是恶意链接的时候发出警告。在没增加这个功能之前,用户点击这些链接的话有可能会导致恶意代码的自动执行。
专家表示,apple并没有很好的解决这个问题。目前黑客仍然有可能构造一种看起来很安全的文件类型,如一幅图像或者一部电影,但实际上它是一个应用程序。
在打上apple这个补丁后,当用户下载一个可能是恶意文件的时候,safari,mail和ichat程序在大多数情况下会显示一个警告。然而,对于其它允许用户接收文件的应用程序来说就不一样了,例如firefox浏览器,thunderbird email客户端,yahoo! messenger和limewire文件共享工具。apple并没有为这些程序提供保护。
并且,如果用户并没有禁用“下载完成后打开文件”功能的话,用户还是处于危险之中。
apple也承认就算打上补丁,恶意文件也还是有可能看起来和正常文件一样。
在apple没推出更有效的补丁之前,用户还是不要点击不明链接为好。同时专家也强烈建议用户禁用safari中的“下载完成后打开文件”的功能。
