Ungepatchte Sicherheitslücke in Apples iCal-Client
Nach wochenlangem Hickhack mit Apple um die Bereitstellung eines Sicherheitsupdates und dem Ringen um die koordinierte Veröffentlichung eines Fehlerberichts von Apple hat der Dienstleister Core Security nun einfach seinen eigenen Bericht veröffentlicht.
- Daniel Bachfeld
Da ist dem Sicherheitsdienstleister Core Security wohl der Kragen geplatzt. Nach wochenlangem Hickhack mit Apple um die Bereitstellung eines Sicherheitsupdates für iCal und dem Ringen um die koordinierte Veröffentlichung eines Fehlerberichts von Apple hat er nun einfach seinen eigenen Bericht veröffentlicht – ohne weiter auf den Hersteller aus Cupertino zu warten. Die "Report Timeline" im Fehlerbericht von Core Security zeigt, wieviel Geduld erforderlich ist, um den von vielen Herstellern geforderten Prozess der Responsible Disclosure durchzuhalten.
Konkret informierte Core Security Apple bereits Ende Januar über drei Sicherheitslücken im iCal-Client und eine im iCal-Server. iCal ist eine in Mac OS X enthaltene netzwerkfähige Kalenderanwendung, mit der Anwender über das CalDAV-Protokoll zusätzlich Kalender anderer Anwender verwalten können, beispielsweise um Termine hineinzuschreiben. Die Server-Lücke wurde bereits mit dem letzten Apple-Update geschlossen, die allerdings als Fehler im Wiki-Server eingestuft wurde.
Die im Client sind bislang immer noch offen, obwohl sich mindestens eine davon ausnutzen lässt, um Schadcode auf einen Rechner zu schleusen und zu starten. Dazu genügt es, eine präparierte ics-Datei, etwa als Anhang einer Mail, zu öffnen. Laut Bericht ist iCal 3.0.1 unter Mac OS X 10.5.1 verwundbar, allerdings ist derzeit 3.0.2 und Mac OS X 10.5.2 aktuell. Ob es sich dabei um einen Schreibfehler handelt, ist noch unklar. Eine Antwort auf eine Anfrage von heise Security steht noch aus.
Bei den Fehlern handelt es sich um zwei Null-Pointer-Dereferenzierungen und ein Problem beim Freigeben reservierter Ressourcen. Nach mehreren Verschiebungen plante Apple laut Cores Historie zuletzt den Patch irgendwann für diese Woche herauszugeben. Offen ist zudem noch die seit dem 30. April bekannte Lücke in QuickTime, die Angreifer mit manipulierten Dateien, Webseiten oder Anhängen an E-Mails Programmcode einschleusen können.
Siehe dazu auch:
- Multiple vulnerabilities in iCal, Fehlerbericht von Core Security
(dab)
