FirefoxのRSSリーダー機能にXSSの脆弱性

FirefoxのRSSリーダー「Sage」にクロスサイトスクリプティングの脆弱性が発見された。

» 2007年02月09日 17時25分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2月9日、Firefoxに追加するRSS/ATOMリーダー「Sage」に、クロスサイトスクリプティング(XSS)の脆弱性があることを明らかにした。

 対象となるのは、Sage 1.3.9とそれ以前のバージョン。RSS情報をHTML変換する際の処理が不適切なため、Webブラウザ上で悪意のあるスクリプトを実行される恐れがある。「Sage++」にも影響があることが確認されている。

 2月9日現在でSage++の公開も停止されており、IPAとJPCERT/CCは、最新版の「Sage 1.3.10」を利用するよう、ユーザーに呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ