新たなフレッシュリーダーの脆弱性および対応版の公開について
【重要】新たなフレッシュリーダーの脆弱性および対応版の公開について : a++ My RSS 管理人ブログ
ううむ、先日更新したばかりだというのに、新たな脆弱性が発見されたとのこと。RSSやATOMなど各種フィードに関するセキュリティ上の脅威というものが、これから多々報告されるようになってくるのかな。サーバ型にせよ、クライアント型にせよ、任意のファイルにアクセスできるような脆弱性は危険極まりないですし。
関連トピックで最速インターフェース研究会 :: フィードリーダーの脆弱性まわりのことなんていうエントリも。FirefoxのアドオンのSage++というRSSリーダにも同種の脆弱性があるようですが、それが作者氏の都合により現時点で未修正のままだとのこと。エントリ内で書かれているように、
Firefox拡張機能のScrapBookではページ取り込みの際にscriptタグやらonloadやら綺麗に取り除いてくれたりするのですが、 Firefox標準のページ保存だとそういうことはやってくれません。そもそも拡張機能側の責任でそういうことをやらなければいけないというのが(中略) じゃねーのって気がするので、Firefoxとかインターネットの使用とかを中止した方がいいんじゃないかと思います。
ということなので、IEに比べて安全安全と謳われているわりに、特定の使用方法によってはIE以上に危険な状況にも陥りうるということのようです。