Apple iCal 3.01, 3.02 sur MacOSX 10.5 \u00e0 10.5.2 (x86 et PowerPC).
D'autres versions pourraient \u00eatre vuln\u00e9rables.
","closed_at":"2008-05-29","content":"## Description\n\niCal est une application de calendrier disponible par d\u00e9faut sur MacOSX.\nCe logiciel utilise notamment des fichiers portant l'extension .ics et\nun protocole nomm\u00e9 CalDAV pour le partage d'\u00e9v\u00e9nements.\n\nTrois vuln\u00e9rabilit\u00e9s concernant iCal ont r\u00e9cemment \u00e9t\u00e9 publi\u00e9es. Deux de\nces vuln\u00e9rabilit\u00e9s sont dues \u00e0 une mauvaise validation de certains\nentiers. Une personne malintentionn\u00e9e peut ainsi r\u00e9aliser un d\u00e9ni de\nservice en incitant un utilisateur \u00e0 importer un fichier .ics\nsp\u00e9cialement con\u00e7u (CVE-2008-2006) et \u00e0 effectuer certaines actions\nsp\u00e9cifiques (double-click sur un \u00e9v\u00e9nement, par exemple).\n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 est \u00e9galement due \u00e0 une mauvaise validation\ndu format d'un fichier .ics et permettrait \u00e0 une personne\nmalintentionn\u00e9e d'ex\u00e9cuter du code arbitraire en incitant un utilisateur\n\u00e0 importer un fichier .ics sp\u00e9cialement con\u00e7u et \u00e0 effectuer certaines\nactions (CVE-2008-2007).\n\nPour information, les fichiers .ics peuvent \u00eatre import\u00e9s\nautomatiquement depuis des serveurs CalDAV.\n\nDes preuves de faisabilit\u00e9 ont \u00e9t\u00e9 diffus\u00e9es sur l'internet.\n\nApple a corrig\u00e9 ces vuln\u00e9rabilit\u00e9s dans sa mise \u00e0 jour de s\u00e9curit\u00e9\n2008-003 publi\u00e9e le 28 mai 2008 et d\u00e9taill\u00e9e dans l'avis\nCERTA-2008-AVI-278.\n\n## Contournement provisoire\n\nLe CERTA pr\u00e9conise les recommandations suivantes :\n\n- n'importer que des fichiers .ics provenant de personnes de confiance\n ;\n- ne s'inscrire que sur des serveurs CalDAV de confiance ;\n- entrer les \u00e9v\u00e9nements manuellement ;\n- dans l'attente d'un correctif, utiliser une application de\n calendrier alternative.\n\n## Solution\n\nLe CERTA recommande d'appliquer les correctifs 2008-003 d'Apple publi\u00e9s\nle 28 mai 2008 et d\u00e9taill\u00e9s dans l'avis CERTA-2008-AVI-278.\n","cves":[{"name":"CVE-2008-2007","url":"https://www.cve.org/CVERecord?id=CVE-2008-2007"},{"name":"CVE-2008-2006","url":"https://www.cve.org/CVERecord?id=CVE-2008-2006"}],"links":[{"title":"Bulletin du NIST CVE-2008-2007 du 22 mai 2008 :","url":"http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2007"},{"title":"Avis CERTA-2008-AVI-278 du 28 mai 2008 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-278/"},{"title":"Bulletin du NIST CVE-2008-2006 du 22 mai 2008 :","url":"http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2006"}],"reference":"CERTA-2008-ALE-007","revisions":[{"description":"version initiale.","revision_date":"2008-05-23T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence aux correctifs publi\u00e9s par Apple et d\u00e9crits dans CERTA-2008-AVI-278.","revision_date":"2008-05-29T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Trois vuln\u00e9rabilit\u00e9s sur Apple iCal\npermettent \u00e0 une personne malintentionn\u00e9e distante de r\u00e9aliser un d\u00e9ni\nde service ou potentiellement ex\u00e9cuter du code arbitraire.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Apple iCal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Core Security CORE-2008-0126","url":"http://www.coresecurity.com/index.php5?module=ContentMod&action=item"}]}