現在はてなの一部のサービスでネットワーク障害が発生しております。現在復旧作業を行っております。
ご利用のみなさまには大変ご迷惑をおかけし、申し訳ございません。
- 20:20 復旧いたしました。なお、ネットワーク機器の再起動によりトップページの障害告知ページへの告知掲載ができなかったため、本日記での告知とさせていだきました。申し訳ございませんでした。
現在はてなの一部のサービスでネットワーク障害が発生しております。現在復旧作業を行っております。
ご利用のみなさまには大変ご迷惑をおかけし、申し訳ございません。
はてなダイアリーを含む、スタイルシートを独自に設定できる各サービスで、スタイルシート内に記述された JavaScript を実行できてしまう XSS 脆弱性が見つかりましたので、修正を行いました。
具体的には、Windows版 Internet Explorer がスタイルシート内のコメント部分 (/* ... */) を無視して解釈するため、"expres/**/sion" などと記述することでサニタイズロジックを通り抜けることができるというものでした。"*/" を "*/ " (コメントを閉じた後に空白を二つに置換) とすることで、対策を行いました。
また、今回の修正に合わせて g:hatena:keyword:はてなダイアリーXSS対策 を更新いたしました。