Beveiligingsonderzoekers hebben in iCal, de standaardkalender- en todo-applicatie van Mac OS X, meerdere beveiligingslekken ontdekt. Dit maakte onderzoekers van het Core Security Technologies-bedrijf bekend.
Er was al maandenlang een briefwisseling aan de gang tussen Apple en de onderzoekers over of de lekken ernstig genoeg waren om gepatcht te worden en zo ja, wanneer. Nadat Apple meerdere keren om uitstel heeft gevraagd, hadden de beveiligingsonderzoekers een ultimatum gesteld waarna de details zouden worden gepubliceerd. Dat ultimatum is nu verlopen.
Het gaat om drie lekken in de iCal-software. Alle drie de lekken maken gebruik van misvormde .ics-bestanden. De eerste twee bestaan vanwege null-pointer dereferencing waardoor er een crash van het programma wordt veroorzaakt. Het derde lek is ietwat serieuzer. Dat lek kan namelijk een geheugenfout veroorzaken waarna kwaadaardige code uitgevoerd kan worden.
Core Security Technologies heeft de lekken al op 30 januari 2008 bij Apple gemeld. In totaal rapporteerde het bedrijf vier lekken, waarvan drie anwezig zijn in iCal en één aanwezig was in iCal Server. Echter is dat laatste lek al in maart door Apple verholpen via de Security Update 2008-002 die 90 bugfixes bevatte.
In maart liet Apple aan de onderzoekers weten dat het slechts een van de drie lekken als een beveiligingsrisico beschouwde en wilde oplossen, tot groot protest van Core Security. Echter heeft Apple nooit laten weten waarom ze de eerste twee bugs slechts als null-pointer dereference-bugs beschouwde, terwijl het beveiligingsbedrijf ze juist wel als beveiligingsrisico’s beschouwde.
Maar ook het serieuze lek werd maar niet gepatcht. Het was eigenlijk het plan om de fout te verhelpen in de Security Update 2008-002. Dit is echter niet gehaald, en daarom heeft Apple de patchdatum gewijzigd naar april, vervolgens naar begin mei en toen naar 19 mei. Toen ook die datum niet gehaald werd, en Apple weer om uitstel van publicatie vroeg, was voor Core Security Technologies de maat vol en stelde het een deadline van bekendmaking.
Opmerkelijk genoeg praat de advisory over iCal 3.01, aanwezig in Mac OS X 10.5.1, terwijl de recentste versie iCal 3.02 is, aanwezig in Mac OS X 10.5.2. Het is onduidelijk of dit versienummer niet klopt, mogelijk vanwege de vele uitstellen, of dat het wel accuraat is. Core Security Technologies was niet voor commentaar bereikbaar. De advisory is in te zien op Bugtraq.
39 minuten geleden
