Sage 1.4.5 に今も残る深刻な脆弱性について (ひぐまのひまグ)

テクノロジーカテゴリーの変更を依頼記事元:

himag.blog26.fc2.com

5 usersがブックマークコメント

コメント

2

記事へのコメント2件

注目コメント
新着コメント

hasegawayosuke 「現行の nsIScriptableUnescapeHTML#parseFragment は一部の属性(値)内にスクリプトが記述されていてもそれを除去しないようです」

2010/02/22 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

Sage 1.4.5 に今も残る深刻な脆弱性について (ひぐまのひまグ)

本家よりFirefox 3.6対応版の Sage 1.4.5 がリリースされました。開発者ブログによると「セキュリティを... 本家よりFirefox 3.6対応版の Sage 1.4.5 がリリースされました。開発者ブログによると「セキュリティを改善した」とのことなので早速テストしてみました。その結果、このバージョンにおいても依然として幾つかの脆弱性が残っていることを確認しました。 Roberto Suggi Liverani氏が報告した脆弱性のうち、link要素内に特殊なURIを埋め込む攻撃に対して依然として脆弱ですし、それどころか、後述のようにエントリ本文に対して従来よりも簡単にスクリプトを埋め込むことができるようにさえなっています。一体何を修正して何を確認したのか、大いに疑問を感じざるを得ません。公平のために付言すれば、一応セキュリティ面において若干の改善が行われたのは事実のようですが、残念ながらその改善はこれらの脆弱性に対しては効果を発揮していません。一体どこに問題があるのか、ポイントは3つあります。

ブックマークしたユーザー

jimo10012010/11/01
hasegawayosuke2010/02/22
ac32010/02/10

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx