SleipnirやGraniのお気に入り検索でスクリプト実行が可能な脆弱性が存在してアップデート版が出ています。

今回の脆弱性は、SleipnirやGraniが備える「お気に入り検索」機能に関するもの。「お気に入り検索」とは、ユーザーが登録した「お気に入り」を、名前やURL、コメントなどで検索できる機能。この機能で検索した結果を履歴から復元した際に、悪質なスクリプトを実行される恐れがある。

　具体的な悪用シナリオは以下のとおり（図）。攻撃者は何らかの方法を用いて、SleipnirやGraniのユーザーに対して、スクリプトを含むキーワードで「お気に入り検索」を行うように誘導する。

関連URL

• Webブラウザの「Sleipnir」「Grani」に脆弱性 - ITmedia エンタープライズ
• JVN#25448394: Sleipnir および Grani のお気に入り検索結果を履歴より復元した際に任意のスクリプトが実行される脆弱性
• フェンリル、不具合や脆弱性を修正した「Grani 3.2」「Sleipnir 2.7.2」