AOL Reader に XSS 脆弱性発見
2013年07月22日 プログラミングTIPS
Google Reader亡き後、お気に入りで使っている「AOL Reader」(詳しくは、Googleリーダーファンのみんなー、乗り換え先はもう決めたー?参照)。
「AOL Reader」はまだBETA版ということで、そこら中にバグが見受けられたり、動作が少し遅かったりしますが、概ね気に入っています。
さて、今日気付いたことがあります。「AOL Reader」には、XSS脆弱性があります。他サイトから読み込んだRSS内のスクリプトが実行されちゃいます。
「AOL Reader」はまだBETA版ということで、そこら中にバグが見受けられたり、動作が少し遅かったりしますが、概ね気に入っています。
さて、今日気付いたことがあります。「AOL Reader」には、XSS脆弱性があります。他サイトから読み込んだRSS内のスクリプトが実行されちゃいます。
最初RSS提供側がエスケープ処理していないのかと思ったら、そうではありませんでした。RSS内ではエスケープ処理されているのに、「Aol Reader」で読み込んだ際に、勝手に展開されてスクリプトが実行されてしまうようです。
タイトルにJavascriptのコードなどが入ったRSSを読み込んでしまうと、危ないようです。
修正されるまでは、「AOL Reader」の利用は控えた方が良いのかもしれません。