Anscheinend ist hier der Sachverhalt immer noch nicht ganz klar.
Im ursprünglichen Bugreport ging es um insgesamt 4 Bugs, 1 davon im WikiServer, der ziemlich bald abgespalten wurde und
hier weiter geführt und von Apple ja auch schon gepatcht wurde.
Die anderen 3 betreffen iCal, 2 davon führen durch falsche Parameter in .ics-Dateien zum Absturz von iCal, der dritte jedoch kann tatsächlich zum Einschleusen von fremden Code verwendet werden.
Apple stellt auch nie in Frage, daß der 3. Bug ein Sicherheitsproblem ist. Die ersten beiden "Null-Pointer"-Bugs (wobei es eigentlich nicht um Null-Pointer an sich geht, sondern darum, daß ein Null-Pointer so verwendet wird, als ob er er auf einen gültigen Speicherbereich zeigt, siehe zB
hier) möchte Apple als normale Bugs und nicht als Sicherheitslücken sehen.
Bei weniger komplexen Systemen könnte man das vielleicht sogar durchlassen, aber bei einer Software, die Teil eines Betriebssystems ist, wohl eher nicht. Und wenn man Mark Dowd von der IBM X-Force glauben kann, dann kann man sehr wohl aus einer Null Pointer Dereferenzierung einen Exploit generieren, siehe die Meldung bei
zdnet, die sich auf ein Whitepaper über einen eben solchen Exploit in Flash bezieht.
Also: es gab (und gibt immer noch) eine Schwachstelle in iCal, die definitiv zur Ausführung fremden Codes verwendet werden kann. Es gibt mind. noch 2 weitere Bugs, bei denen nicht ausgeschlossen werden kann, daß sie für einen Exploit verwendet werden könnten.
Somit scheint es für mich so zu sein, daß Apple ein weiteres Security-Update vor dem Erscheinen von 10.5.3 vermeiden möchte. Letzteres hätte schon längstens erscheinen müssen (ursprünglich war von März/April die Rede), wurde aber wohl wie so manches Update davor verschoben (mbs weiß vielleicht sogar warum, aber dummerweise gibt's da das dumme NDA
).
Für mich ein klarer Fall von Publicity vor Security.