A volte cantiamo le lodi dei sistemi operativi Apple, definendoli sicuri e a prova di qualsiasi virus. Però stavolta anche i più convinti sostenitori di queste affermazioni dovrebbero ricredersi.
Sono state scoperte tre vulnerabilità nell’applicazione iCal Calendar, che potrebbero permettere a qualche malintenzionato di eseguire codice arbitrario nel sistema operativo e di far andare in crash l’applicazione stessa.
La scoperta è stata effettuata dalla società di sicurezza Core Security, che ha rilasciato Mercoledì 21 un bollettino di sicurezza dettagliato sulle vulnerabilità, che colpiscono la versione 3.0.1 di iCal che gira sotto un sistema Mac OS Leopard X 10.5.1.
Il bollettino avverte:
La più seria delle tre vulnerabilità è dovuta a una potenziale corruzione della memoria che può essere causata da un bug nascosto in un file con estensione .ics (proprio quella che contraddistingue i file di calendario).
Le altre due vulnerabilità potrebbero essere usate per mandare in crash iCal usando un file .ics contenente codice malevolo.
In realtà la vulnerabilità è stata scoperta un bel po’ di tempo fa. Core Security aveva avvertito Apple del problema fin dallo scorso Gennaio. Apple aveva promesso di rilasciare una patch durante gli aggiornamenti di Marzo, ma così non è successo.
Le comunicazioni tra le due società sono continuate fino ad Aprile, quando Core Security ha deciso di rendere pubblico il problema, che ha diffuso solo adesso nel bollettino di cui vi ho parlato.