GoogleのAjax開発ツールにXSSの脆弱性

オープンソースのAjax開発ツール「Google Web Toolkit」（GWT）にクロスサイトスクリプティング（XSS）の脆弱性が見つかった。

[ITmedia]

　報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は12月18日、Webアプリケーション開発ツール「Google Web Toolkit」（GWT）にクロスサイトスクリプティング（XSS）の脆弱性が発見されたとして、JVN（Japan Vulnerability Notes）に脆弱性情報を公開した。CVSS（共通脆弱性評価システム）による脆弱性の深刻度は2.6で、「注意」レベル。

　GWTは、Googleが提供する、AjaxアプリケーションをJavaベースの環境で開発するためのオープンソースのツール。今回、GWTのbenchmark reporting systemにXSSの脆弱性が見つかった。細工されたWebサーバを介してユーザーがGWTにアクセスすると、任意のスクリプトがユーザーが意図しない形で実行される恐れがある。

　この問題の影響を受けるのは、GWTバージョン1.4.60とそれ以前のバージョン。回避策は、公開されている最新バージョン1.4.61にアップグレードすること。Windows、Mac OS X 10.4、Linux各OSの対応版が用意されている。