Appleのカレンダーソフトに脆弱性、パッチは未公開

　セキュリティ企業のCore Security Technologiesは5月21日、Appleのスケジュール管理ソフト「iCal」に関する脆弱性情報を公開した。現時点でAppleはパッチを公開していない。

　Core Securityによれば、iCalには3件の脆弱性が存在する。最も深刻なのは、リソース解放に関連するメモリ破損の問題で、第三者が細工を施した「.ics」形式のカレンダーファイルを使って悪用される恐れがある。

　この脆弱性を突かれると、攻撃者が任意のコードを実行したり、サービス妨害（DoS）攻撃を繰り返してiCalをクラッシュさせることが可能。ユーザーは、電子メールやWebサイトで配信された信頼できない.icsのカレンダーファイルを開かないように注意する必要がある。

　脆弱性が存在するのはOS X 10.5から10.5.2にバンドルされたiCalアプリケーション。iCal 3.0.1と3.0.2でコンセプト実証コードをテストしたとしている。

　Core SecurityはAppleと連絡を取り合い、脆弱性情報の公開日程を決めたというが、アドバイザリーでは「Appleのセキュリティアップデートで脆弱性のないパッケージを入手可能」と明記している。しかし米国時間で22日現在、Appleからはパッチがまだ公開されていない。

Livedoorニュースより

タグ：脆弱性