2008/01/28(月)FirefoxのSageは危ない

脆弱性情報の公表に関する疑問によると

最後に、Sageユーザーの方が現時点で取り得る対策方法について記しておきたいと思います。

  • Sageの使用を直ちに中止する (強く推奨)

だそうです。とりあえずSage++に入れ替えた(このままSage使うよりはマシ良いので)。

そういやSageが危ないって話は前からありましたよね……。というより、実際自分でもadiary開発中に何度も確認してるし。Sageは数え切れない欠陥がありまして*1、実行時の場所が

file:///C:/Documents%20and%20Settings/~/chrome/sage.html

ですから、XSS使うと簡単に同一ドメインでローカルファイルがry

それにしてもJPCERT/CCって害毒だなー(笑)

*1 : 内部特殊変数をRSSに書くと置き換えてくれたり、エスケープコードを2重に評価したり。この2重評価はひどくて、blogシステム上で第3者によるXSS対策をしてもRSSを読むことで、blogシステムの防衛機能を乗り越えてクライアントPCでXSSできるという。実証はしてないけど、たぶんできる。