「Google Security Flaw Allows Sites to Auto-Subscribe New RSS Readers」より。

あるHTMLコードが埋め込まれたページを訪れると、自動的にその人のGoogle Readerにフィードが登録されてしまうというCSRF脆弱性がGoogle Readerに存在していたようです。

具体的には、iframeのsrcの値として「フィードをGoogle Readerに追加する際のURL」を仕込んでおくというもの。参照元のページにはそのコードと実証ページのリンクが掲載されていますが、先ほど試してみても何も起きませんでした。(どうやら参照元のコメント欄を見るとすでにGoogle内部に伝わって修正されている。)

ちなみに、以前もGoogle Readerには「強制的にログアウトさせる」というCSRF脆弱性がありました。

• 
• ツイートで共有

著者について

F.Ko-Ji

Webエンジニアやってます。最近は ドットインストール の開発がお仕事です。その傍ら、個人で Meity や 電車遅延なう、梅酒.in、 #グラドル自画撮り部 の部室といったネットサービスを開発・運営してます。梅酒と草野球とリアル脱出ゲームが好きです。

» 詳しいプロフィールや運営サービスの一覧など