D'après une alerte publiée mercredi par l'éditeur Core Security Technologies, l'application iCal de Mac OS X serait affectée par trois vulnérabilités, qui pourraient être utilisées pour compromettre le fonctionnement du logiciel et favoriser l'exécution de code distant sur la machine cible. La version 3.01 de l'application de gestion de calendrier d'Apple est concernée lorsqu'elle est installée sur Mac OS X 10.5.1 Leopard. Ces trois vulnérabilités pourraient être exploitées par un attaquant à l'aide d'un fichier .ics, le format utilisé par iCal, préalablement piégé.
Dans le premier cas, il serait possible de provoquer une corruption de mémoire permettant l'exécution de code à distance. Les deux autres failles pourraient également conduire à une exécution de code à distance, mais leur potentiel n'a pas été démontré. Dans tous les cas, il suffirait à la victime d'ouvrir un fichier .ics infecté pour devenir vulnérable.
Core Security explique que ces failles auraient été découvertes en janvier dernier, et qu'Apple a logiquement été prévenu dans la foulée. L'éditeur aurait alors indiqué qu'il allait publier un correctif à l'occasion de ses mises à jour du mois de mars, mais n'en aurait finalement rien fait côté client. Core Security serait alors revenu à la charge pour pousser Apple à une réponse rapide, fixant finalement à ce dernier un ultimatum en date du 21 mai. Quelle qu'ait été la nature des rapports entre les deux firmes, les modalités d'exploitation de ces failles sont maintenant publiques, ce qui devrait conduire Apple à une réponse rapide. Il semblerait toutefois que le problème ait été résolu avec la sortie de Leopard 10.5.2, accompagné d'iCal 3.02, ce qui minimise la portée du problème. Core Security ne fait en effet explicitement référence qu'à Mac OS X 10.5.1.