リクルート、就活用Google Chrome拡張機能「どこでもリクナビ2013」に脆弱性

 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は13日、Google Chromeの拡張機能「どこでもリクナビ2013」に脆弱性があることを公表した。

 「どこでもリクナビ2013」は、株式会社リクルートが運営する就職活動サイト「リクナビ2013」の公式拡張機能として同社が提供しているもの。これをインストールすると、ページのキーワードをもとに、関連しそうな新卒採用を行なっているリクナビ掲載企業を表示できるほか、リクナビ上で企業から返信メッセージが来た場合にアラートが表示される。

 IPA/ISECとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」によると、「どこでもリクナビ2013」のバージョン1.0.0にはクロスサイトスクリプティング(XSS)の脆弱性があり、ユーザーのGoogle Chrome上で任意のスクリプトを実行される可能性があるとしている。リクルートによれば、最新バージョンの1.0.1において修正しており、Google Chromeの機能により自動的に更新される。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120413_526265.html