Securitybedrijf maakt lekken iCal bekend
Gepubliceerd: Vrijdag 23 mei 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Core Security Technologies heeft drie lekken in iCal bekendgemaakt. Aanvallers kunnen dankzij één van de lekken willekeurige code uitvoeren op kwetsbare systemen.
Het securitybedrijf heeft de informatie over de kwetsbaarheden in de kalenderapplicatie die wordt meegeleverd met Mac OS X, geplaatst op de mailinglists Bugtraq en Full Disclosure en op zijn eigen website.
De lekken kunnen worden misbruikt met behulp van een speciaal geprepareerd (misvormd) .ics kalenderbestand. In één geval kan misbruik van het lek leiden tot het uitvoeren van code op een kwetsbaar systeem. Bij de twee andere kwetsbaarheden is dat niet mogelijk. Wel is het met de twee laatstgenoemde lekken mogelijk om iCal te laten crashen.
De reden dat Core Security Technologies de details over de lekken heeft bekendgemaakt, is dat Apple niet snel genoeg in actie kwam nadat het bedrijf de kwetsbaarheden op 30 januari bij het bedrijf had gemeld. Op verzoek van Apple besloot Core Security Technologies vier keer om publicatie van de lekken uit te stellen.
Het is nog onduidelijk wanneer Apple de door Core Security gesignaleerde lekken zal dichten. Voor zover bekend hebben kwaadwillenden nog geen misbruik gemaakt van de kwetsbaarheden.
Bron: Techworld
