Una empresa de Seguridad cansada de esperar una solución a un problema, publica varias vulnerabilidades de iCal
Después de intentar trabajar con Apple durante varios meses en lo que declara son defectos de seguridad serios en iCal, la firma de seguridad Core Security Technologies (CST) publicó los fallos el miércoles a ultima hora. La compañía publicó la noticia de los errores, junto con el código de prueba de concepto de muestra y un informe de contactos con Apple que debate la severidad de los defectos y amenaza con publicarlos a menos que Apple se comprometa a una fecha para arreglar los fallos.
Según CST, los defectos, “descubiertos en la aplicación iCal podrían permitir que atacantes no identificados ejecuten código arbitrario en sistemas vulnerables con (y potencialmente sin) la ayuda del usuario al final de la aplicación o ejecutar repetidamente un ataque de denegación de servicio para hacer fallar la aplicación iCal”.
La compañía también dijo que la explotación de vulnerabilidades es posible por medio de un ataque del lado del cliente con asistencia de usuario, lo que significa hacer que la víctima haga clic en un archivo .ics especialmente diseñado. Peor aún, también sería posible explotar el fallo si el atacante tiene la habilidad de modificar o añadir un archivo de calendario en un servidor CalDAV donde la víctima esté suscrita.
Según el informe de contactos con Apple que CST publicó, la primera vez que la firma notificó los fallos a Apple fue el 20 de enero de 2008. Durante los meses siguientes, las dos compañías intercambiaron contactos en los que se reconocieron los defectos y debatieron su gravedad. CST mantuvo a través del intercambio que los defectos eran serios, pero retrasaron su publicación porque Apple pidió tiempo adicional.
Apple finalmente dijo a CST que publicaría una actualización para los problemas de seguridad el 19 de mayo de 2008 y Core fijo el 21 de mayo como la fecha final para publicar los fallos. Como la fecha de 19 pasó sin la publicación de la actualización, CST publicó la información en su página web.
Normalmente ha habido algo de fricción entre firmas de seguridad y vendedores de sistema operativo, generalmente Microsoft o Apple. Las firmas de seguridad tienden a querer los parches publicados tan pronto como sea posible y la publicidad de haber encontrado los defectos, mientras que los vendedores de sistemas operativos quieren tomarse tanto tiempo como crean necesario para solucionar el problema sin tener que ocuparse de la presión de que se conozca el fallo.
Esto ha conducido ocasionalmente a acciones como la de CST, donde la firma de seguridad o hacker de sombrero blanco publican la información después de cansarse de esperar una acción de los vendedores.
Noticia Siguiente: Lo próximo en portátiles: los super-panorámicos 16:9
Los comentarios que vulneren los derechos de otros usuarios, estén relacionados con actividades ilegales , supongan un claro ejemplo de interés comercial o sean ajenos al contenido de la noticia serán borrados sin aviso previo. Una buena ortografía y sintaxis ayudará a otros usuarios a entender mucho mejor sus inquietudes. Una vez enviado el comentario, se hará visible en unos minutos. Si cree que alguno de los comentarios publicados vulnera sus derechos, por favor, envíenos unas líneas a través de nuestro formulario de contacto. Al colocar un comentario en esta web, acepta que sus datos queden recogidos en una base de datos propiedad de Entremaqueros, SL., ubicada en EE.UU., cuya finalidad es el exclusivo almacenamiento de los mismos.
Enviar un comentario nuevo