ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Appleのカレンダーソフトに脆弱性、パッチは未公開日程調整に食い違い?

» 2008年05月23日 08時19分 公開
[ITmedia]

 セキュリティ企業のCore Security Technologiesは5月21日、Appleのスケジュール管理ソフト「iCal」に関する脆弱性情報を公開した。現時点でAppleはパッチを公開していない。

 Core Securityによれば、iCalには3件の脆弱性が存在する。最も深刻なのは、リソース解放に関連するメモリ破損の問題で、第三者が細工を施した「.ics」形式のカレンダーファイルを使って悪用される恐れがある。

 この脆弱性を突かれると、攻撃者が任意のコードを実行したり、サービス妨害(DoS)攻撃を繰り返してiCalをクラッシュさせることが可能。ユーザーは、電子メールやWebサイトで配信された信頼できない.icsのカレンダーファイルを開かないように注意する必要がある。

 脆弱性が存在するのはOS X 10.5から10.5.2にバンドルされたiCalアプリケーション。iCal 3.0.1と3.0.2でコンセプト実証コードをテストしたとしている。

 Core SecurityはAppleと連絡を取り合い、脆弱性情報の公開日程を決めたというが、アドバイザリーでは「Appleのセキュリティアップデートで脆弱性のないパッケージを入手可能」と明記している。しかし米国時間で22日現在、Appleからはパッチがまだ公開されていない。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.