なんのこと？

●文字エンコーディングに起因する複数の XSS 脆弱性

http://www.mozilla-japan.org/security/announce/2008/mfsa2008-13.html

無修正とは？

●当日記20080118に関連か…
http://d.hatena.ne.jp/hoshikuzu/20080118

ISO-2022-JPの仕様とパッチ(どちらも広く公開されています)を読めば瞬間的に思いつきそうな変形版の攻撃

気になること

ISO-2022系、Shift_JIS系以外のエンコーディングにおいても、非ASCII文字列の取り扱いに不備が「あった」と判断できること。今回のアドバイザリにはそれらが触れられていないこと。

いずれにせよ

サーバサイドにしてみると業腹かもしれないが、エンコーディングにおいて不正なものはやはりHTMLの一部として埋め込まれてはいけないと言える。こうした視点はまだ徹底されていないようだが、XSS対策として絶対に必要だ。他のブラウザに関しても恐ろしいことがまだまだあるからだ。

ユーザ起源のデータをHTMLに埋め込むときに全部、文字参照でエスケープできるようならそうしてもよい。いわゆる過激なエスケープだ。これなら当面安心だ。