Mac OS XのiCalに脆弱性

　Mac OS Xユーザーは注意して欲しい。Appleが米国時間5月21日中に優先度の高いセキュリティパッチを公表するようだ。（記事末尾に更新情報）

　脆弱性研究と侵入テストを専門とするCore Securityのセキュリティ情報によると、AppleはiCalに関するリモートから悪用可能な3つの脆弱性に対するパッチをまもなく公表するという。iCalはMac OS Xと一緒に出荷されている個人用カレンダーアプリケーションだ。

　Core Secuirtyのアドバイザリは、Appleのセキュリティチームとの協力で作成されているものであるため、21日中に複数の脆弱性に対する修正を行う大きなソフトウェアアップデートが行われる可能性は高い。

　Core Securityのアドバイザリには次のようにある。

　これらの脆弱性は、iCalが同プログラムのカレンダーファイル（.ics）の一部のフィールドについて適切に検証を行っていないことが原因で引き起こされるものだ。これらの脆弱性を悪用すると、悪質なカレンダーのアップデートや特別に作成されたカレンダーファイルのインポートで、iCalがクラッシュするか（最初の2件のバグ）、任意のコードを実行される可能性がある（3つめのバグ）。

　脆弱性のあるパッケージには、Mac OS X 10.5.1（Leopard）のiCalバージョン3.0.1が含まれる。

　Core Securityは、このセキュリティホールはユーザーのクライアント側での攻撃を可能にするもので、攻撃には不正に用意されたウェブサイトや悪質な添付ファイルなどが利用される。

　アドバイザリに説明されている3件すべてに共通しているのは、不適切な値の検証処理が、カレンダーの行事を共有するためのカレンダーファイルフォーマットの構文解析に影響しているということだ。これは、悪質なiCalenderファイルを電子メールで送る、ウェブサービスに投稿するなどの方法によって、対象となるアプリケーションがそのファイルを開いたり、コンピュータ上で更新したりした時に脆弱性を悪用することができるということだ。

　この脆弱性を悪用すると、悪意のあるカレンダーアップデートや特別に作成されたカレンダーファイルのインポートを通じて、iCalをクラッシュさせるか（最初の2件のバグの場合）、任意のコードを実行する（3番目のバグの場合）ことができる。

　AppleのiCalユーザーには、Mac OS Xに組み込まれているソフトウェアアップデート機能を使って、パッチを探し、インストールすることを強く勧める。

　更新情報：Appleのパッチは延期され、米国時間5月21中には発表されないと聞かされた。このような状況なので、おかしなリンクやカレンダーファイル（.ics）を追加したり開いたりすることを求める電子メールには注意した方がいい。