Criticas vulnerabilidades han sido detectadas en el programa de calendario iCal versión 3.0.1 en MacOS X 10.5.1 (Leopard), por una empresa de seguridad, hace meses atrás y notificadas a Apple pero la tardanza y dilaciones para que arreglen estos errores hizo que las den a conocer aunque Apple no tenga un parche de seguridad aún.

Core Security Technologies detalló 3 bugs (errores de programación) en iCal que permiten que atacantes los exploten a través de servidores, sitios Web maliciosos o enviando archivos .ics vía correo electrónico.

“Las vulnerabilidades permitirían que atacantes sin autenticarse ejecuten código arbitrariamente en sistemas vulnerables con (y potencialmente sin) la asistencia del usuario final de la aplicación o repetidamente ejecutar una ataque de negación del servicio para inhabilitar la aplicación iCal”, dijo Core Security.

Core Security reportó las vulnerabilidades de iCal e iCal Server a Apple el 30 de Enero del 2008, y pasaron cuatro meses pidiendo a Apple que arreglaran los bugs, contestando las consultas de equipo de seguridad de Apple y dilatando la fecha del anuncio de su existencia.

Apple parchó la vulnerabilidad en su servidor Leopard en Marzo con el Security Update 2008-002, pero el parche para cliente de iCal ha ido posponiéndose. En cuatro ocasiones, Apple ha solicitado a Core posponer la publicación de la información acerca de las vulnerabilidades; cada vez Core aceptó.

El problema: Apple seguía posponiendo la distribución de parches de seguridad para iCal.

El 10 de Mayo, Apple solicitó posponer el anuncio por quinta ocasión, Core Security le dio como fecha limite el miércoles 21 de Mayo a Apple. Aunque el reporte dice que iCal 3.01 en Mac OS X 10.5.1 es vulnerable, no esta claro si la versión de iCal 3.0.2 en Mac OS X 10.5.2, esta también afectada, en tales circunstancias, mejor evite enlaces de extraños y e-mails solicitando agregar/abrir archivos de calendario (.ics).