今日、仕事から帰ってメールチェックしていたら、レンサバのロリポップのお知らせで、MovableType3.33へのアップグレードのすすめが載っていた。

◆概要はこんな感じです。
・・・Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。・・・

◆影響のあるバージョン：
・・・現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。・・・




◆対処方法：
・・・9/26　11:15より、対策を施したMovable Typeの新バージョン（Movable Type 3.33）をリリースいたします。すみやかにバージョンアップをお願い致します。
なお、Movable Type Enterpriseの新バージョン（1.03）を提供開始しました。・・・

ちなみに、クロスサイトスクリプティングの脆弱性とは何か。これは簡単にいうと、この脆弱性を用いることにより、対策のとられていない webサイトにアクセスすることで、ユーザーの cookie が第三者に送信される可能性があるということだ。なりすましなどにより、例えばクレジットカード情報などが盗まれてしまう可能性もあるのである。以外に、この対策がとられていないサイトが多いようである。詳しくはこちらのサイトを参考に。

ということで、早速アップグレードしてみた。これで、少しは安心というところか。しかし、バージョン3.3になってからよくアップグレードさせられる。しなくてもいい部分もあるのかもしれないが、今回はしておいた方がセキュリティ上良さそうである。度々のアップグレード作業に少々閉口している。