■ ■ Disclosure of information vulnerability in Safari (Brian Mastenbrook, 2009.01.11) (セキュリティホールmemo, 1/14)

　Mac OS X 10.5 の Safari における RSS フィードの処理に欠陥があり、攻略 Web サイトを Safari で閲覧すると、攻略 Web サイトは Safari を動作させている PC 上のローカルファイルを、ユーザに知られることなく閲覧できる模様。 Windows 版の Safari にもこの欠陥があるそうだ。 Mac OS X 10.4 以前にはこの欠陥はない。

　patch はまだない。回避策としては、RCDefaultApp を使用して、RSS フィードのデフォルトアプリを Safari ではないものに変更する (無効に設定してもよい)。

■ JVN#28344798 Cisco IOS におけるクロスサイトスクリプティングの脆弱性 (JVN, 1/15)

Cisco IOS のウェブ管理インターフェースに、XSSの脆弱性がある。該当製品の対策済みファームウェアをアップデートするか、ウェブ管理インターフェースを無効にすれば良いようです。