Les utilisateurs Apple attendent des correctifs pour iCal

Des correctifs pour trois bugs affectant l’application iCal d’Apple attendent toujours d’être publiés.

Les bugs sont reliés à un mauvais assainissement de certains champs des fichiers calendriers d’iCal et peuvent être exploités pour lancer des attaques de ’déni de services’ ou pour prendre le contrôle de machines vulnérables. Ces vulnérabilités ont été découvertes en janvier par des chercheurs de Core Security Technologies et le responsable des ventes technologiques à informé eWeek qu’il estimait qu’Apple ne devrait plus attendre pour corriger ces problèmes.

Ces failles peuvent être exploitées en proposant à un utilisateur de cliquer sur un fichier .ics envoyé par e-mail ou sur un site web compromis. En outre, les failles peuvent être exploitées sans l’implication des utilisateurs directs, si l’attaquant a la capacité d’ajouter ou modifier légitimement des fichiers calendriers sur un serveur CalDAV.

"La divulgation d’informations sur une vulnérabilité peut … aider les méchants, mais fondamentalement il est beaucoup plus important d’aider les bons à se protéger eux-mêmes », dit Arce responsable technique chez Core Security. "Alors, après qu’une période de temps se soit écoulée depuis la première divulgation … il devient de plus en plus probable que la vulnérabilité soit largement connue, même si vous ne l’avez pas divulguée."

Jusqu’à ce qu’un patch soit prêt, Arce recommande aux utilisateurs de se méfier des fichiers .ics reçus de sources inconnues.

 Voir en ligne (en anglais) : Tired of waiting on Apple, researchers disclose iCal bugs

 Voir en ligne (en anglais) : Apple Users Wait for iCal Patches