ZAPAnet総合情報局 > ZAPAブログ2.0 > AOL Reader に XSS 脆弱性発見

AOL Reader に XSS 脆弱性発見

2013年07月22日 プログラミングTIPS
Google Reader亡き後、お気に入りで使っている「AOL Reader(詳しくは、Googleリーダーファンのみんなー、乗り換え先はもう決めたー?参照)

「AOL Reader」はまだBETA版ということで、そこら中にバグが見受けられたり、動作が少し遅かったりしますが、概ね気に入っています。

さて、今日気付いたことがあります。「AOL Reader」には、XSS脆弱性があります。他サイトから読み込んだRSS内のスクリプトが実行されちゃいます。

最初RSS提供側がエスケープ処理していないのかと思ったら、そうではありませんでした。RSS内ではエスケープ処理されているのに、「Aol Reader」で読み込んだ際に、勝手に展開されてスクリプトが実行されてしまうようです。

タイトルにJavascriptのコードなどが入ったRSSを読み込んでしまうと、危ないようです。

修正されるまでは、「AOL Reader」の利用は控えた方が良いのかもしれません。