φ(..)メモメモ

主要Webブラウザが実装しているクロスサイトスクリプティング（XSS）攻撃の防止策をかわせてしまう方法が見つかったとして、スペインのTelefonica傘下のセキュリティ企業ElevenPathsが1月20日のブログで報告した。GoogleのWebブラウザ「Chrome」では問題が修正されたものの、Appleの「Safari」ではまだ未解決のままだと伝えている。
ElevenPathsによると、Google Chromeでは「XSSAuditor」というフィルタを使ってXSS攻撃を防止しているが、同社の研究者が発見した手口を使えば、不正なIFRAMEを仕込んだWebサイトを使ってこのフィルタをかわし、XSS攻撃を仕掛けることができてしまうという。

ChromeとSafariのXSS攻撃防止ツールに脆弱性報告 - ITmedia エンタープライズ