sima2*blog

攻撃者はRSSまたはAtomフォーマットとしてユーザーに転送されるデータフィードに悪質なJavaScriptを挿入することができると、ウェブセキュリティ企業SPI Dynamicsでセキュリティエンジニアを務めるBob Auger氏は米国時間8月3日、当地で開催されたセキュリティイベントBlack Hatにおけるプレゼンテーションの中で述べた。

つまりRSSを読み込んでブラウザで表示させる、というRSSリーダー系での脆弱性、ということですね。RSSを経路にしてJavaScriptでアタックする、という。これはスタンドアローンアプリは当然範疇ですが、ASP型のオンラインRSSリーダーも作り次第では同様のことがおきるかも。

攻撃者は、悪質なブログを立ち上げて、利用者がそのRSSフィードを受信するように誘い込むことで、この問題を悪用することができる。さらに攻撃者は、悪質なJavaScriptを信頼性の高いブログのコメントに追加する可能性が高いと、Auger氏は言う。「多くのブログが利用者のコメントを取り上げ、それを自らのRSSフィードに挿入している」（Auger氏）

つまり有名なブログのフィードでもクラックされる可能性がある、と。そうなると確かに脅威ですね。
けど・・・であればそのブログを見ること自体も危険、てことですな。

Auger氏によると、人気の高いフィードリーダーの多くに脆弱性が存在するのは、開発者がセキュリティチェック機能を付加しなかったためだという。フィードリーダーは、JavaScriptを起動するべきではないうえ、そもそもフィルターにかけて除去すべきであるという。

確かにw
ここで指摘されてることって、結論メールでOutlook Expressがやってるフィルターと同じ意味ですよね。
てことはまぁ最初っから対応しとけよ、って話なんですが・・・