Interesujące podejście Apple do problemu bezpieczeństwa własnych aplikacji prezentuje historia kilku błędów w iCalu wykrytych przez Core Security.
Jak można wyczytać, mamy do czynienia z trzema błędami, z których dwa pozwalają na przeprowadzenie ataku DoS na aplikację, a ostatni pozwala na wykonanie złośliwego kodu. Co prawda tylko z uprawnieniami użytkownika, który używa iCala, ale to otwiera drogę do przeprowadzenia dalszych ataków na system czy np. kradzież danych czy tożsamości. Podatne są wersje 3.0.1 i 3.0.2, czyli ta poprzednia, i ta najbardziej aktualna.
Interesująca jest także historia kontaktów Core Security z sekcją bezpieczeństwa Apple.
Błąd został zgłoszony 30 stycznia, a do dnia dzisiejszego mimo nacisków ze strony Core i przekładania publikacji błędów z miesiąca na miesiąc nie stało się nic. Poprawiono jedynie kilka błędów w iCal server i Wiki server. Nie ma to jak poważne traktowanie spraw związanych z bezpieczeństwem…
W dniu wczorajszym Core Security w obliczu braku reakcji ze strony Apple Inc. ogłosiło […]
Źródło Patryk Dawidziuk