martes, 23 de noviembre de 2004

Ejecución de programas arbitrarios con iCal de Apple

Apple ha publicado una actualización de seguridad para su sistema
operativo Mac OS X, con objeto de cubrir una vulnerabilidad en la
aplicación de calendario iCal.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

La vulnerabilidad anunciada puede ser explotada por un usuario
malicioso para lograr el compromiso del sistema afectado. El problema
reside en la posibilidad de ejecutar programas arbitrarios o enviar
correos electrónicos a través de alarmas del calendario, para lo cual
basta con que el atacante engañe al usuario para que abra o importe un
nuevo calendario iCal.

La actualización publicada por Apple muestra una ventana de alerta
cuando se importa o abren nuevos calendarios que incluyan alarmas. La
nueva versión de iCal 1.5.4 está disponible para Mac OS X 10.2.3 o
posterior en http://www.apple.com/ical/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798