Bezpečnostní specialisté dnes varovali, že starší systém Mac OS X 10.5 (Leopard) obsahuje kritickou chybu, kterou Apple do dnešní doby neopravil. Leopard je stále nainstalován na třetině všech počítačů a je to poslední systém, který fungoval na PowerPC platformě.
Chyba, která je variací na chybu, kterou Apple opravil v iOS v srpnu, způsobuje poškození paměti v AppleTypeServices. Důvodem je chybné zpracování poslední hodnoty v indexové struktuře znakových řetězců. Chyba může být zneužita pro spuštění kódu jednoduše tím, že přesvědčí uživatele, aby se podíval na PDF dokument, obsahující upravené CCF písmo. Na chybu přišli Anibal Sacoo a Matias Eisler z CoreSecurity Technologies. Ti však také tvrdí, že se jedná o jinou chybu, která používá stejný "vektor útoku".
Apple prý několikrát oznamoval, že chybu již má opravenu, ale dvakrát nesplnil své vlastní termíny vydání patche bez žádných vysvětlení. V tuto chvíli je nejlepším řešením upgrade na Mac OS X 10.6. Ti, kteří jsou nuceni použít starší systém by si raději neměli prohlížet PDF soubory.
Hlavním důvodem, proč není chyba přítomna také v Mac OS X 10.6 je to, že novější verze systému používá FreeType knihovnu v novější verzi, kde je tento problém vyřešen.
Problému si všiml i Charlie Miller, který jej komentoval již v srpnu ( když Apple patchoval iOS ) na Tweetu: "Apple nepatchuje OS X. Chyba se ho netýká nebo se Apple zajímá pouze zastavení jailbreaku?". Vyjadřoval se také k současnému chování Apple: "Je to klasický příklad toho, jak komunikuje Apple se specialistou a proč se specialisté nechtějí hádat."
Anibal Sacco (jeden z těch co chybu objevili) tvrdí: "Apple rád stanovuje data, které pak nedodržuje a abych byl upřímný, připadalo mi to jako ukázka demonstrace síly."
Odkazy z novinek: