Google Readerにログイン妨害の脆弱性

US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。 米Googleが試験提供しているRSSリーダーの「Google Reader」に脆弱性が存在し、悪用されるとサービスへのログインが妨害される可能性があるとして、US-CERTが4月18日、アドバイザリーを公開した。 それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ（XSRF）の脆弱性が存在する。 Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が悪質なRSSフィードのイメージソースとしてログオフボタンを提示することにより、このリンクを実行できてしまう可能性がある。ユーザーが問題のRSSフィードをロー

[tsupo]

偽のログオフボタンを仕込んだRSS/Atomフィードを読み込んでしまった場合、そのボタンをクリックすると攻撃が発動してしまう → 違った。正規のログオフボタンを表示させるだけで自動的にログオフさせられてしまう

[kyorecoba]

Google リーダーはYoutube オブジェクトタグを許すなどちょっと寛大なところがあるので狙いたくなるのかも…。

[poolmmjp]

imgのsrcにログアウト用URLを入れたRSSを配信することで、利用者をログアウトさせることができるってことか。いいんじゃないの別に。ダメだっけ？まあ迷惑だよね確かに。

[kazuhooku]

フィードを表示した瞬間に強制ログアウトwwwww

[TAKESAKO]

ログオフボタンも脆弱性になるのか。。。

[tomozo3]

どうやってそのfeedを読ませるんだろう?