■ JVN#97248625 Movable Type におけるクロスサイトスクリプティングの脆弱性 (JVN, 4/24)

影響があるのは、

• Movable Type 4.24 (Professional Pack, Community Pack を同梱)
• Movable Type Commercial 4.24 (Professional Pack を同梱)
• Movable Type 4.24 Enterprise
• Movable Type 4.24 (Open Source)

及び、グローバルテンプレートの初期化が行われていない以下のもの

• Movable Type 4.25 (Movable Type 4.24 (Professional Pack, Community Pack を同梱) からアップグレードした環境)
• Movable Type 4.25 (Movable Type 4.24 Enterprise からアップグレードした環境)

対策は、Movable Type 4.25 へアップグレード後、グローバルテンプレートの初期化すればよい。
詳細はこちら：Movable Type 4.24 でのセキュリティ上の問題について (Movable Type.jp, 4/20)

■ OAuthに脆弱性、TwitterやYahoo!がAPIを停止 (@IT, 4/23)

プロトコル自体にセッション固定攻撃の脆弱性があり、

• Yahoo、Twitter、Yammerは対応APIを緊急停止した
• グーグルは問題のあるモノとは別のOAuthを使っているので今のところ影響はないと言っている

■ グーグル、「Chrome」の重大なセキュリティホールを修正 (CNET Japan, 4/24)

1.0.154.59がでた。