| ←[緊急] Sage++ (Higmmer's Edition) 公開停止 | トップ | 開発後記 〜聖司との戦いの記録〜 第一章→ |
Sage及びSage++の脆弱性情報に関する補足
本日JVNにおいて「Sageにおいて任意のスクリプトが実行される脆弱性」に関する情報が公開されました。概要部分を以下に引用します。
Sage は、Mozilla Firefox に RSS/Atom フィードリーダー機能を追加する機能拡張です。Sage には、フィード内の情報を出力する際の処理が不適切なため、ユーザのブラウザ上でフィードに埋め込まれた任意のスクリプトが実行される脆弱性が存在します。
影響を受けるシステム
- Sage 1.3.9 およびそれ以前
なお、本脆弱性は Sage++ にも影響があることが確認されています。
2007/02/09 現在、Sage++ の公開およびアップデートは停止されています。Sage++ ユーザは Sage の最新版を利用することを推奨します。
JVN#84430861: Sage において任意のスクリプトが実行される脆弱性(筆者注) 上記リリースには影響を受けるシステムとして「Sage 1.3.9 およびそれ以前」とありますが、開発版Sage 1.4の2007/1/30より以前の版にも同種の脆弱性が存在します。
文中にあるSage++とは、当ひまグで公開していたSageの私製改造版「Sage++ (Higmmer's Edition)」のことを指します。当該脆弱性がSage 1.3.10では影響を受けない(=修正された)とされているところから考えて、やはりBugzillaで先行公表された内容がIPA及びJPCERT/CCを通じて私の方へ連絡があったものと同一案件だった模様です(*)。ここに改めて、今回ご心配ご迷惑をおかけしたユーザー並びに関係者の皆様にお詫び申し上げます。
参考までに、当該脆弱性について当方で調査した内容を以下に示します。
上記ページでも指摘した通り、公式版Sage 1.3.10/1.4には今回公表された以外にも未修正の脆弱性が残存していることが判明しています(本家Sageプロジェクトには通報済み)。当方で把握している脆弱性については拙作Sage++で対策しましたが、その後更に未知の脆弱性があるという情報が出たため当ひまグでの公開を完全停止させて頂きました。
というわけでJVNのリリースにある通り拙作Sage++の公開及びメンテナンスが停止中であるのは事実ですが、公式版Sage 1.3.10/1.4にも未だ複数の脆弱性が残っていることが確認されているため、当ひまグとしては現時点ではSage(及びSage++)を使い続けることを推奨できる状態にないと言わざるを得ません。やむを得ず利用を継続される場合には少なくとも以下のいずれかの対策を行った方がいいでしょう。
- 信頼できないフィードを購読しない
- NoScript拡張を導入する (Sage 1.4では効果が不十分)
- 「フィードをコンテンツエリアに読み込む」をオフにする
但し、これを行ったからといって100%安全になるという保証はどこにもありませんので注意して下さい。
| ←[緊急] Sage++ (Higmmer's Edition) 公開停止 | トップ | 開発後記 〜聖司との戦いの記録〜 第一章→ |
| ←[緊急] Sage++ (Higmmer's Edition) 公開停止 | トップ | 開発後記 〜聖司との戦いの記録〜 第一章→ |
筆者:ひぐま
ヒマでしょうがないプログラマ。
略してヒマグラマー。
ご連絡は下のメールフォームよりどうぞ。
- ♪ バンブラDX 自作曲集
大合奏バンドブラザーズDX
Firefox 3 Hacks- ▼ もっと見る ▼
