文章来源:   ccid  

安全厂商Core安全技术公司称，苹果iCal日历应用程序存在三个安全漏洞。黑客利用这些安全漏洞能够造成这个应用程序崩溃或者在受害者的Mac计算机上远程执行代码。

　　Core安全公司日前发布了一个安全公告，详细介绍了这些安全漏洞的情况。这些按漏洞影响到在Mac OS X 10.5.1版操作系统上运行的iCal 3.0.1版。

　　这个安全公告警告称，这三个安全漏洞中最严重的安全漏洞是由资源库软件瑕疵引起的内存破坏造成的。潜在的攻击者特别制作的恶意的“.ics”日历文件能够利用这个安全漏洞。

　　利用特别制作的恶意“.ics”文件能够利用其它两个安全漏洞造成iCal程序崩溃。Core安全公司称，它正在调查利用这三个安全漏洞执行任意代码的可能性。但是，到目前为止，这种攻击的可能性还没有得到证明。

　　攻击者要利用这些安全漏洞必须要说服用户打开一个通过电子邮件发送的或者网络服务器托管的“.ics”文件。如果用户能够在CalDAV服务器上增加或者修改文件，攻击者能够直接利用这些安全漏洞。

　　据Core安全公司提供的时间表显示，该公司是在1月份向苹果通报这些安全漏洞的。苹果在今年2月份表示，它将在今年3月份的安全补丁中修复这些安全漏洞。但是，苹果并没有这样做。后来，Core安全公司决定在4月份公布这些安全漏洞的信息。这两家公司的沟通仍在继续并且达成妥协和推迟发布这个消息。Core安全公司最后表示，无论苹果是否修复这些安全漏洞，它都要公开这个消息。