情報処理推進機構(IPA)は9日、FirefoxにRSSリーダー機能を追加するプラグイン「Sage」において、任意のスクリプトが実行される脆弱性が存在すると警告した。Sage利用者に対して、最新バージョンにアップデートするように注意を促している。
今回公表された脆弱性は、RSSフィード内の情報をHTMLページに変換する際の処理が不適切なため、フィードに埋め込まれた任意のスクリプトがFirefox上で実行される恐れがあるというもの。影響を受けるのは、Sage 1.3.9以前のバージョン。
なお、Sageの私製改造版である「Sage++」にも同様の脆弱性が確認されている。Sage++は公開およびアップデートを停止しているため、IPAではSageの最新バージョン「1.3.10」にアップデートするように呼びかけている。
関連情報
■URL
Sageにおいて任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN%2384430861/
Sage 1.3.10について(英文)
http://sage.mozdev.org/blog/archives/2007/1/sage_1_3_10_released.html
■関連記事
・ 「Sleipnir」のRSSバーに脆弱性、最新版で修正済み(2007/01/26)
・ サイドフィード、「フレッシュリーダー」の脆弱性修正版を公開(2007/01/18)
( 増田 覚 )
2007/02/09 15:00
- ページの先頭へ-
|