Opera Software |
SecurityFocus、Opera Unspecified Security Bypass VulnerabilityにおいてOpera 9から10までマイナーリリースバージョンも含め24のブラウザにセキュリティバイパスの脆弱性があると報告されている。この脆弱性を利用されると許可されている権限以上の権限で特定のJavaScriptが実行され、Operaにおける任意のフィードを操作される危険性があるという。Google Chromeにも同様の脆弱性があるようだ。
Exploiting Chrome and Opera's inbuilt ATOM/RSS reader with Script Executionの説明によれば、RSS/Atomを登録しようとリンクをクリックして飛んだ先で悪意のあるJavaScriptが実行される可能性がある。この問題を一時的に解決する方法はなく、Chromeはバージョン3.0.195.21で対策が実施され、Operaは次のマイナーリリースで対策がとられるという。
この脆弱性は、RSSリーダがJavaScriptの含められたコンテンツをレンダリングすることを加味していないというところから発生しているという。もともと2006年にJames Holderness氏およびJames M. Snell氏らが実施したリサーチの内容が元になっており、それを最近のブラウザに対して実施したところOperaとChromeに同様の脆弱性が認められたという。
