Il nostro amato iCal, calendario integrato in OS X comodissimo per la sincronizzazione con Mail, iPod, iPhone e tutti i cellulari compatibili, potrebbe diventare il nostro prossimo nemico.
Almeno fino a ché Apple non rilascerà un bug fix di una vulnerabilità che è stata scoperta da Core Security e che affligge iCal nella sua versione 3.02, quella che gira su ogni Mac con Leopard 10.5.2.

Le vulnerabilità riscontrate a gennaio 2008 da Core Security erano 3 e consentirebbero attraverso attacchi di eseguire codice arbitrario con l’interazione dell’utente, ma potenzialmente anche senza alcun’azione da parte dell’utente.
Anche un’attacco DoS (Denial of Service) può essere portato avanti contro iCal con questo metodo, risultando in crash continui del programma.

La vulnerabilità più seria (che è stata già corretta con il Security Update 2008-002 di marzo), era dovuta ad un bug legato al rilascio delle risorse da parte del programma che poteva essere attivato con un file .ics (i file di iCal aderenti allo standard iCalendar e WebDav) appositamente malformato.
Questa vulnerabilità avrebbe potuto portare ad una situazione di corruzione della memoria.

Le altre due vulnerabilità, meno problematiche ed ancora presenti su iCal, possono portare al crash del programma, ma non è stato possibile far eseguire codice arbitrario e malevole ai sistemi affetti dai due bug.

Tutti e tre le problematiche sono possibili attraverso l’interazione dell’utente cliccando su di un file .ics, ma anche senza interazione, nel caso di sottoscrizioni a calendari condivisi via internet che vengono modificati da remoto con codice malformato.

Apple, consultata da Core Security, ha ottenuto dalla compagnia la possibilità di ritardare fino al 21 maggio la pubblicazione tecnica dei bug scoperti, per dare agli ingegneri la possibilità di correggere gli errori al codice.

In marzo è stata risolta la vulnerabilità più grave e con maggior rischio per l’utente. Le due meno problematiche sono per ora rimaste in iCal, probabilmente perché i tecnici erano impegnati a risolvere altri bug più urgenti con il Security Update 2008-002.
Ricordate il bug dei sistemi BSD rimasto per 25 anni perché non “dava fastidio a nessuno”?

E’ probabile che ormai ci sarà da attendere l’update a Leopard 10.5.3 per vedere corrette le due vulnerabilità rimaste.

Nel frattempo, è buona norma non cliccare su file .ics ricevuti via email e non “richiesti” (soprattutto se ricevuti da sconosciuti), ma anche non sottoscrivere calendari su siti web di dubbia provenienza.

Sul sito Apple è presente una sezione dedicata a calendari vari sottoscrivibili via internet ed il cui contenuto è garantito come sicuro da Apple stessa.