SecuLog

■Google Toolbar About Page Cross-Domain Command Execution

Google Toolbarでも脆弱性が見つかってるみたい。

インストールされたアドオンの生成するAboutページにスクリプトを挿入することができてしまうため、マイコンピュータゾーンでのスクリプト実行が可能になってしまっているという問題のようで。悪意あるリンクに誘導されると危険なコードを実行させられてしまいますね。

Bugtraqに実証コードがポストされているとのこと。

• GoogleToolbar:About -- Allows Script Injection

Googleからはまだアナウンスなどは見当たらないようで。

• Google ToolbarRevision History
• Google 更新履歴 （日本語）

最新版では、実は修正されているという話もあるみたい。

• Akira's Blogs: 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性

まぁ、Google Toolbarは自動アップデートされるようになっているので、そういうものは対策版がリリースされれば順次更新されていくのでしょうが、さて他のアドオンツールではどうなんでしょうかね。

参考:

• /.J: GoogleToolbar に脆弱性が発見される

seculogger による 03:32 午後 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■9月のMicrosoft定例セキュリティアップデートに関しての備忘録

埋もれているうちに過ぎ去っていった感がある、9月の月刊定例アップデートだったのですが、一応自分用のメモのみ作成しておくことに。

seculogger による 02:30 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)