Apple hat schon am vergangenen Freitag das "Security Update 2004-05-24" in Versionen für Mac OS X 10.2 und 10.3 veröffentlicht (unüblicherweise sogar angekündigt in Form einer Pressemitteilung) und die Installation allen Macintosh-Nutzern empfohlen. Der Patch beseitigt eine seit Februar bekannte und in der vergangenen Woche öffentlich gewordene Sicherheitslücke im Apple-Betriebssystem, die von der Sicherheitsfirma Secunia als "extrem kritisch" eingestuft wird.

Leider geht das Problem aber noch tiefer: Die Architektur von OS X ermöglicht es bislang, dass der "disk"-URI-Handler zufällige URI-Handler registrieren oder ungenutzte modifizieren und anschließend auf einem Disk-Image oder entfernten Volume platzierten Code zur Ausführung bringen kann. Der von Apple veröffentlichte Patch behebt lediglich ein vergleichbares Problem für den "help"-URI-Handler.

Es ist zu erwarten, dass Apple deswegen in Kürze einen weiteren Patch (oder gleich Mac OS X 10.3.4) veröffentlicht und auch das zweite Problem behebt. Bis dahin müssen Anwender sich mit Zwischenlösungen wie dem von Unsanity bereitgestellten "Paranoid Android" behelfen. (tc)