Eindringlich wiesen heise-online und vorigen Sonntag auch Mac-TV darauf hin, dass man derzeit Java in jedem Mac-Browser deaktivieren sollte. Denn durch einen Exploit könnten Angreifer die Kontrolle über einen Rechner übernehmen. Dazu muss ein Anwender etwa mit Safari eine manipulierte Webseite aufrufen. Ursache der Drive-by-Download-Lücke sind seit Anfang Dezember bekannte Schwachstellen der Sandbox der Java Virtual Machine bei der Deserialisierung bestimmter Objekte. Damit kann ein (untrusted) Applet an höhere Systemrechte gelangen. So kann prinzipiell jeder, der einen Java Compiler bedienen kann, scharfe Web-Exploits für Mac OS X bauen, die sofort beim Besuch einer Web-Seite Schadcode ausführen. Sun hat die Lücke unter anderem mit dem Java 6 Update 11 im Dezember geschlossen – bei Apple ist dies nicht der Fall. Das Sicherheits-Update 2009-002 vom 12. Mai ignoriert diese Lücke noch immer. Als einzige Schutzmaßnahme bleibt momentan unter „Safari -> Einstellungen -> Sicherheit“ Java vollständig zu deaktivieren. Nicht zu verwechseln mit JavaScript!
Update: Apple hat in der Nacht zum 16. Juni zwei Updates bereitgestellt, die die Java-Unterstützung in Mac OS 10.4 und 10.5 verbessern. Beide Updates stehen auf der Apple-Support-Seite und per Software-Aktualisierung zum Download bereit. Vor der Installation müssen laut Apple alle Browser geschlossen werden.