「Google Security Flaw Allows Sites to Auto-Subscribe New RSS Readers」より。

あるHTMLコードが埋め込まれたページを訪れると、自動的にその人のGoogle Readerにフィードが登録されてしまうというCSRF脆弱性がGoogle Readerに存在していたようです。

具体的には、iframeのsrcの値として「フィードをGoogle Readerに追加する際のURL」を仕込んでおくというもの。参照元のページにはそのコードと実証ページのリンクが掲載されていますが、先ほど試してみても何も起きませんでした。(どうやら参照元のコメント欄を見るとすでにGoogle内部に伝わって修正されている。)

ちなみに、以前もGoogle Readerには「強制的にログアウトさせる」というCSRF脆弱性がありました。

著者について

F.Ko-Ji

最近はもっぱら仕事と育児、どちらかというと育児のほうが忙しいです。もう長いことドットインストールの開発をしています。

» 詳しいプロフィールや運営サービスの一覧など