Secunia melder om en sårbarhet i Mac OS X som kan utnyttes av ondsinnede personer til å fange opp passord og annen følsom informasjon.
Sårbarheten skyldes at Apple Filing Protocol (AFP) automatisk benytter brukergodkjennelse i klartekst, selv om den er konfigurert for å benytte SSH (Secure Shell), dersom verten ikke aksepterer SSH. Dette gjøres uten at brukeren blir informert om dette.
I tillegg startes SSH uten sjekking av "host key", noe som skal gjøre ”man-in-the-middle”-angrep mulig.
Sårbarheten er funnet i Apple Macintosh OS X versjon 10.2 til 10.3.2.
Ifølge Secunia har Apple ikke noen oppdatering klar som tetter dette sikkerhetshullet. Secunia anbefaler derfor at AFP-trafikk filtreres slik at den ikke sendes i klartekst over usikre nettverk, eventuelt at det benyttes manuelle SSH- eller VPN-tunneler.
