今回のセキュリティ・ホールの概要（IPAの情報から引用）

[画像のクリックで拡大表示]

　JP Vendor Status Notes（JVN）は9月26日，シックス・アパートのブログ・システム「Movable Type」にクロスサイト・スクリプティングのセキュリティ・ホール（脆弱性）が見つかったことを明らかにした。Movable Typeが稼働するブログ・サイトを経由して，ユーザーのWebブラウザ上で悪意のあるスクリプトを実行される恐れなどがある。対策はバージョンアップ。

　今回のセキュリティ・ホールは，Movable Typeの検索機能に見つかったという。検索結果を出力する際の処理が不適切なために，出力結果中に任意のスクリプトを埋め込まれる可能性がある。このため，例えば掲示板やメールに書かれた，攻撃者が作成したリンクをクリックすると，悪意のあるスクリプトがブログ・サイトのコンテキスト（セキュリティ・ゾーン）で実行させられる恐れがある。

　影響を受けるのは，Movable Type 3.3／3.31／3.32，Movable Type Enterprise 1.01／1.02。対策は，セキュリティ・ホールを修正したMovable Type 3.33およびMovable Type Enterprise 1.03にバージョン・アップすること。Movable Type 3.33はシックス・アパートのWebページから入手可能。同ページでは，Movable Type 3.2用のパッチも公開している。Movable Type Enterprise 1.03については，9月27日に公開する予定である。

・JP Vendor Status Notes（JVN）の情報
・情報処理推進機構（IPA）の情報
・シックス・アパートの情報