Apple n’a toujours pas corrigé les failles d’iCal

Des chercheurs en sécurité ont publié les détails de trois failles de l’application iCal après avoir attendu plus de quatre mois un correctif de la part d’Apple. Les chercheurs de Core Security ont découvert ces failles dans l’application de calendrier d’Apple en janvier, et en ont rapidement informé Apple.

« Trois vulnérabilités d’iCal pourraient permettre à des attaquants d’exécuter un code arbitraire sur des systèmes vulnérables, sans authentification, avec (et potentiellement sans) l’assistance de l’utilisateur final », déclare Core Security dans un post de la mailing list Bugtraq.

« Ces attaquants pourraient également exécuter de façon répétitive une attaque de déni de service qui provoquerait un plantage de l’application iCal. La plus sérieuse de ces trois vulnérabilités est causée par une corruption de mémoire potentielle résultant en un bug de libération de ressource pouvant être déclenché par un fichier de calendrier .ics mal formé spécialement conçu par l’attaquant ».

Apple avait promis de publier des correctifs en mars, puis en avril. Mais, après des retards répétés et le refus d’Apple de reconnaître l’existence du problème, Core Security a rendu l’information publique, afin que les utilisateurs puissent protéger leurs informations. La société avait informé Apple de sa décision à l’avance, mais les correctifs n’ont toujours pas été publiés.

Adaptation de l’article Apple fails to patch serious iCal flaws de Vnunet.com en date du 23 mai 2008.