Android版「Feedly」がv20にアップデート、Javascriptインジェクションに対する脆弱性も報告される
オンラインRSSリーダーサービス「Feedly」のAndroidアプリがv20にアップデートされました。
前回バージョンがv19.xだったので、今回はメジャーアップデートとなるのですが、変更内容には”バグの修正とパフォーマンスの最適化”としか記載されていません。しかし、Feedlyより発表されたJavascriptインジェクション攻撃に対する脆弱性に関連した修正も含まれていると思うので、ユーザーさんはアプリをアップデートすることをおすすめします。
Feedlyで発見されたJavascriptインジェクションに対する脆弱性というのは、クロスサイトスクリプティングやXSSの脆弱性といったもので、HTMLコードのサニタイジング機能のバグによって悪意のある攻撃者がブログ記事を介して悪質なJavascriptコードをFeedlyアプリに送信できるようにするというものです。
Feedlyは公式ブログを通じて、この脆弱性は3月17日に報告を受けた後、バックエンドのサーバ側のバグであることが判明したとして、報告から24時間以内に修正を行ったとしています。また、この脆弱性を報告した方も自身のブログを通じて、v19.3.0で発生していたのが現在では発生していないと述べています。
「Feedly」(Google Playストア)
Source : Feedly、breaktoprotect
関連記事
週間ランキング
None Found