Darksky::Weblog

1/26にRSSバーのバージョン1.29を公開しました。このバージョンは、RSSバーの脆弱性を修正したものです。
報告では、Sleipnir版としてアナウンスされていますが、Internet Explorer、unDonut版にも同様の脆弱性があります。
RSSバーをご利用の方は早めにバージョンアップをお願いします。
ダウンロードはこちらから。

今回の脆弱性について、報告いただきましたJPCERT/CC様、長谷川 陽介様、ありがとうございます。
特にSleipnirの開発元であるフェンリル株式会社の皆様には、ご迷惑をおかけした上、対応や公開作業についてもご協力いただき、感謝でございます。

情報処理推進機構
JVN#93700808 - 「Sleipnir」の RSSバーにおけるセキュリティゾーンの扱いに関する脆弱性

JP Vendor Status Notes
JVN#93700808 - Sleipnir の RSSバーにおけるセキュリティゾーンの扱いに関する脆弱性

あとこの辺のリンクもはっておきます。

葉っぱ日記
http://d.hatena.ne.jp/hasegawayosuke/20070126

今回の対応についての詳細は割愛しますが、実行ゾーンを変更しても脆弱性がゼロになるかということと、検証するための時間が足りないと判断して、一切のスクリプト実行を禁止するようにしました。

ご利用の方には面倒かと思いますが、バージョンアップをお願いします。