Apple publiserte fredag ettermiddag sikkerhetsoppdateringer til Mac OS X, som tetter et alvorlig sikkerhetshull som ble offentliggjort mandag i forrige uke. Apple er blitt kritisert for å ha brukt lang tid på å tette hullet. Personen som oppdaget sårbarheten, hevder å ha varslet Apple allerede i februar, uten å få noen respons fra selskapet. Sårbarheten er blitt ansett som svært alvorlig, siden den skal være enkel å utnytte, og fordi programvare som utnytter sårbarheten allerede florerer i ulike miljøer.
Sikkerhetsoppdateringene (datert 21. mai 2004 med navnet Security Update 2004-05-24) som tetter hullet i Mac OS X 10.2.8 og 10.3.3 er tilgjengelige fra denne siden.
Dagen etter at Apple publiserte feilfiksene, varslet Secunia om et nytt og tilsvarende sikkerhetshull i Mac OS X. Dette er en variant av det foregående - også dette kan utnyttes av ondsinnede nettsteder til å kompromittere en sårbar datamaskin ved hjelp av en sårbarhet i "disk" URI-handler, men uten bruk av "help" URI-handler-sårbarheten.
Det er beskrevet flere metoder for å utnytte sårbarheten. Nærmere detaljer finnes i advarselen fra Secunia. Det er ifølge Secunia blitt rapportert om at det finnes programvare som utnytter FTP-varianten av sårbarheten, men også AFP skal være en sannsynlig angrepsvektor.
Apple har foreløpig ikke kommet med patcher som retter denne sårbarheten. Secunia beskriver i advarselen flere tiltak brukerne kan gjøre for å redusere risikoen for angrep. Dette inkluderer å deaktivere åpning av "trygge" filer etter nedlasting, samt endre protokollhjelperprogrammet for URI-handlerene for "disk" og "disks".
