Bezpečnostní výzkumník Nitesh Dhanjani již v květnu roku 2008 upozornil Apple na to, že v Safari je chyba umožňující útok typu carpet bomb („kobercový nálet“).
Apple původně odmítl, že by z problému vyplývala nějaká reálná rizika. Dhanjani svůj postup tedy zveřejnil a brzy se přišlo na to, že v kombinaci s dalšími technikami umožňuje útočníkovi spustit na PC neautorizované programy. Apple proto vydal záplatu, ovšem pouze pro verzi pro Windows.
Dhanjani nyní na americkém Computerworldu Apple kritizoval za to, že podobný patch po celou dobu nevydal i pro Safari na MacOS. Faktem ale je, že zde se zatím kvůli chybě neautorizovaný program nikomu vzdáleně spustit nepodařilo.
Útok typu carpet bomb funguje jako neautorizované stahování souborů. Safari po uživateli nevyžaduje, aby uložení souborů na lokálním disku odsouhlasil. Stažení souboru ovšem ještě neznamená jeho spuštění, bez nějaké další zranitelnosti nedává ještě útočníkovi možnost s nimi dále manipulovat. Nicméně současné stahování velkého množství souborů může vést ke zhavarování prohlížeče, což je pro útočníka potenciálně šance vsunout svůj kód.
Charlie Miller, který předvedl již celou řadu zranitelností v bezpečnostních produktech Applu, ovšem nevidí tento problém jako jinak vážný. Na MacOS se podle něj v tomto případě může prostě nahromadit velké množství souborů ve složce Downloads, nic víc. Ptát se před stažením každého souboru samozřejmě uživatele obtěžuje, proto Apple se změnou nastavení Safari pro MacOS váhá.