| 在和苹果交流、争论了几个月之后,安全公司Core Security Technologies(CST)认为苹果反应速度太慢,于是公开了其日历软件iCal里的安全漏洞,不仅有详细的缺陷描述,还有一些概念验证型攻击代码,以及和苹果之间的联络记录。
CST称,iCal中的这些安全缺陷会让非授权用户在系统内执行任意代码,或者不断发起DoS攻击导致iCal程序崩溃。黑客利用这些漏洞需要终端用户的帮助,但也有可能不需要。
CST指出,黑客可能会借助用户的帮助发起Client-Side攻击,也就是诱使用户打开特制的.ics文件,而且更糟糕的是,如果有人能够在一台CalDAV服务器上修改或增加日历文件,也能对订阅了相关服务的用户发起攻击。
根据CST和苹果之间的通信记录,CST早在今年1月20日就将有关情况通报给了苹果,就漏洞的严重性进行交流。CST强调说漏洞非常危险,但苹果迟迟没有做出修复举措,拖了很久才说会在5月19日发布补丁。CST一直等到5月21日,仍然没有看到苹果的安全补丁,于是和盘托出了所有资料。
其实,安全机构和操作系统厂商之间经常有类似的摩擦,一方希望尽快修复漏洞,另一方则态度谨慎地观察很久,结果偶尔就会出现CST这样的例子。
|
