NEWS(12/06/07 13:48)

RSSリーダー「FeedDemon」の旧バージョンに脆弱性、最新版で修正済み

RSSフィードに含まれる任意のスクリプトを実行されてしまう可能性

「FeedDemon」「FeedDemon」

 IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人
JPCERTコーディネーションセンター(JPCERT/CC)は7日、“Google リーダー”との同期が可能な多機能RSSリーダー「FeedDemon」の旧バージョンに脆弱性が存在することを公表した。脆弱性が存在するのは「FeedDemon」v4.0より前のバージョンで、最新版では修正済みだという。なお、現在の最新版はv4.1.0.0となっている。

 脆弱性の詳細は、RSSフィードをプレビューした際にフィードに含まれる任意のスクリプトが実行されてしまうというもの。JPCERT/CCによる評価では“攻撃経路”と“認証レベル”が4段階中最悪の“高”、“攻撃成立に必要なユーザーの関与”は3段階中2番目に悪い“中”、“攻撃の難易度”は4段階中2番目に悪い“中 - 高”とされている。

(長谷川 正太郎)