No está del todo claro el alcance que puede tener esto, pero si usas Safari 2.0 con Mac OS X 10.4 y no has tocado los ajustes por defecto, podrías encontrarte con que una página web diseñada a tal efecto puede descargar e instalar un widget de Dashboard en tu Mac automáticamente como cuentan en zaptastic: blueprint for a widget of mass destruction. [AVISO IMPORTANTE: si usas Safari 2.0 con Mac OS X 10.4 y no has tocado las opciones por defecto este enlace instalará un widget tirando a molesto]
Esto en si no supone realmente nada porque aunque un widget esté instalado no se activa hasta que tú lo haces, pero quién sabe, con un poco de ingeniería social se pueden lograr cosas mucho más complicadas.
El problema de todo esto es que aunque se supone que los widgets no deberían poder hacer mucho daño en realidad pueden hacer cualquier cosa que el usuario pueda hacer, como por ejemplo borrar un archivo, ejecutar comandos desde la línea de comandos, un AppleScript...
El remedio por ahora es desactivar la opción de Abrir archivos seguros al descargarlos en Safari, o no usar Safari en absoluto.
Hay más información en Dashboard: Widget (In)Security, y es de suponer que Apple corrija eso en una próxima versión del sistema o en una actualización de seguridad, pero la verdad es que parece mentira que a estas alturas del baile alguien sea capaz de sacar un sistema con un agujero de seguridad tan enorme como este.
