[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)

フレッシュリーダーの脆弱性に関連してSage++のこと」よりもこちらのほうが興味深い。

  • JPCERT/CC 開発者ベンダ登録リストは、「会社の登記簿謄本」や「会社概要」が必要と書かれているので、企業を対象とした枠組みであり個人は対象外だと私も思っていた。
  • 「45日」は事実上死んでいる(と思われる)ルールなので、修正されていない脆弱性は45日を過ぎてもJVNにて公開されることはありません(たぶん)。
  • Sage 1.4の脆弱性については IPA 経由での届出はなされてないんですかね。
  • 記事中で挙げられている、スクリプトを含む RSS Feed 以外にも、テスト用の RSS Feed (を束ねた opml)としては、Feed Secuirty Suite があります。

あと、製品開発者ベンダ登録リストに登録しておくと、「ブラウザの『仕様』なのでWebアプリ側で頑張って対策してね」みたいな情報を秘密保持に同意したうえでIPAJPCERT/CCからコッソリ教えてもらえる意見交換会みたいなのがあったりするみたいです。