Marp、JavaScript 実行処理にアクセス制限不備の脆弱性を確認
MarpのJavaScript 実行処理にアクセス制限不備の脆弱性が確認された。影響を受けるのはMarp v0.0.10とそれ以前で、JavaScript の実行時にローカルリソースへのアクセスが制限されていないため、PC上のファイル読込み処理が可能となる。この脆弱性が悪用されると、細工されたファイルの読み込によりPC 上のファイルにアクセスされ、情報が外部に流出する恐れがある。解決策として、Marp v0.0.11が公開されており、これによりMarkdown ファイル内の JavaScript からローカルリソースへのアクセスが制限される。また、Markdown ファイル内でscript タグやiframe タグを使用しないようにするとともに、不審サイトやメールに添付された Markdown ファイルなどは開かないよう推奨している。
