Zignorowane błędy w iCalu
Interesujące podejście Apple do problemu bezpieczeństwa własnych aplikacji prezentuje historia kilku błędów w iCalu wykrytych przez Core Security.
Jak można wyczytać, mamy do czynienia z trzema błędami, z których dwa pozwalają na przeprowadzenie ataku DoS na aplikację, a ostatni pozwala na wykonanie złośliwego kodu. Co prawda tylko z uprawnieniami użytkownika, który używa iCala, ale to otwiera drogę do przeprowadzenia dalszych ataków na system czy np. kradzież danych czy tożsamości. Podatne są wersje 3.0.1 i 3.0.2, czyli ta poprzednia, i ta najbardziej aktualna.
Interesująca jest także historia kontaktów Core Security z sekcją bezpieczeństwa Apple.
BÅ‚Ä…d zostaÅ‚ zgÅ‚oszony 30 stycznia, a do dnia dzisiejszego mimo nacisków ze strony Core i przekÅ‚adania publikacji bÅ‚Ä™dów z miesiÄ…ca na miesiÄ…c nie staÅ‚o siÄ™ nic. Poprawiono jedynie kilka bÅ‚Ä™dów w iCal server i Wiki server. Nie ma to jak poważne traktowanie spraw zwiÄ…zanych z bezpieczeÅ„stwem…
Wczoraj Core Security w obliczu braku reakcji ze strony Apple Inc. ogÅ‚osiÅ‚o dokÅ‚adne szczegóły […]
Źródło Patryk Dawidziuk