ob Windows/Linux/OSX - egal, die Modifikationen des Installers am System erlaubt, läuft Gefahr, das er sich eine Schadsoftware einhandelt. Das ist und war aber schon immer so - auf egal welchem Betriebssystem. Das ist sozusagen eine IT-Binsenweisheit. Dass heise aus dieser Tatsache (mal wieder) eine Artikel aufbauscht, spricht für sich.
Und das mit dem deaktivierbaren root unter OS X, das war einmal. Sobald ein Benutzer Admin Rechte hat, kann er mit seinem Passwort jegliche Systemmodifikation erlauben. Auch z.B. sudo im Terminal.
Außerdem glaube ich darüber hinaus schon, dass auch ein Laie überblicken kann, ob er ein Softwareaupdate aus dem Mac Appstore, über die Website des Herstellers oder über
http://www.myfancydownload.com herunter lädt.