公式版Sage1.3.9がリリースされました

■ ネット Posted by ひぐま (Higmmer) on 2006-11-18 at 18:13:00

◆共有テーマ: Firefox [コンピュータ]

本日、Sageの公式ページにおいてバージョン1.3.9がリリースされたもようです。今回の更新内容は以下の通り。

Sage: Blogより

  1. サイドバーを開閉するショートカットキーを"Alt+S"から"Alt+Z"に変更(Fx2.0の履歴メニューとの衝突回避)
  2. 項目リスト上部のフィードタイトルをクリックすると新しいウィンドウが開いてしまう不具合を(やっと)修正
  3. "<<tag>"のような二重に開かれたタグを用いてHTMLフィルタをすり抜けることができる脆弱性を修正
  4. link要素に細工することでJavascriptを含む任意の要素を混入することができる脆弱性を修正(こちらのエントリで指摘した脆弱性(*)のことです)
  5. RSSフィードに含まれるatom:link要素が誤って解釈される不具合を修正(詳細不明。RSSからAtomへの移行を促す時に使用する?)
(*) Sage 1.4については現時点ではまだ修正されていないようです(まもなく修正されると思いますが)。

これらのうち、1と5以外に関しては当ひまグで配布しているSage++ (Higmmer's Edition)では既に修正・対策済みですので、Sage++ユーザーの方は特に急いでバージョンアップする必要はないと思います。 3に関して一部対策漏れが判明しました。下の追記を参照して下さい。

この一両日中にHigmmer's Editionにも1.3.9での修正内容を取り込む予定ですが、ちょっとコードがコンフリクトしている箇所があるのでどちらを採用するか検討してからリリースしたいと思います。ちなみにサイドバーにフォーカスを移す(又は開閉する)ショートカットキーについてはabout:configから設定できるように手直しするつもりです(個人的には"Alt+S"の方が使いやすいので)。


【追記】
少し情報をあたったところ、上記3の脆弱性に関連してSage++ (Higmmer's Edition) 1.3.8xに対策漏れの箇所があることが判明しました(*1)。但し、Higmmer's Editionではこの脆弱性はHTMLフィルタ方式を「高速」に設定している場合のみ発生し、「詳細」の場合は発生しません。その他にも様々なフィルタを追加していますので、まだの方はこれを機に「詳細」フィルタの利用を検討してみては如何でしょう(*2)。尚、公式版Sage 1.3.9ではこの脆弱性は修正されています。

(*1) 情報元:「Firefox の拡張 Sage にスクリプト混入の脆弱性 パート2」(.Mac Tips)
(*2) HTMLフィルタの設定方法はこちらのエントリを参照して下さい。

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲