セキュリティ企業のCore Security Technologiesは5月21日、Appleのスケジュール管理ソフト「iCal」に関する脆弱性情報を公開した。現時点でAppleはパッチを公開していない。
Core Securityによれば、iCalには3件の脆弱性が存在する。最も深刻なのは、リソース解放に関連するメモリ破損の問題で、第三者が細工を施した「.ics」形式のカレンダーファイルを使って悪用される恐れがある。
この脆弱性を突かれると、攻撃者が任意のコードを実行したり、サービス妨害(DoS)攻撃を繰り返してiCalをクラッシュさせることが可能。ユーザーは、電子メールやWebサイトで配信された信頼できない.icsのカレンダーファイルを開かないように注意する必要がある。
脆弱性が存在するのはOS X 10.5から10.5.2にバンドルされたiCalアプリケーション。iCal 3.0.1と3.0.2でコンセプト実証コードをテストしたとしている。
Core SecurityはAppleと連絡を取り合い、脆弱性情報の公開日程を決めたというが、アドバイザリーでは「Appleのセキュリティアップデートで脆弱性のないパッケージを入手可能」と明記している。しかし米国時間で22日現在、Appleからはパッチがまだ公開されていない。
関連記事
- Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求
Safariはユーザーの許可なくマルウェアをダウンロードしてしまうと研究者が指摘。しかしAppleはこれをセキュリティ問題としては扱わない方針だという。 - SafariブラウザにURL偽装の脆弱性
- MacBook Airをハッキング、コンテストで勝者決定
- <オルタナティブ・ブログ>Google Calendarを本格的に試用開始。(Speed Feed)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.