携帯対応プラグイン Ktai Style バージョン 1.34 リリース
絵文字対応の WordPress 携帯対応プラグイン「Ktai Style」のバージョン 1.34 をリリースいたしました。今回はセキュリティー修正を含んでおり、バージョン 1.20 以降の利用者はこのバージョンへの更新が必須です。変更点は以下の通りです。
- WordPress 2.3.3 以前において「絵文字投稿を許可する」設定にした場合、投稿本文にシングルクォート (’) を含む場合に、投稿編集に失敗する不具合を修正しました。*** これは Ktai Style 1.20 〜 1.33 に存在するセキュリティー欠陥です ***
- WordPress 2.5 以降において、「絵文字投稿を許可する」設定でコメント編集をするとシングルクォート (’) の前にバックスラッシュ (\) がついてしまう不具合を修正しました。
- ウィルコム絵文字で 0xF052 は「バイク」が正当なため、変換テーブル等を修正しました (従来は「船」だと思っていました)。
- Nokia 端末の判別で取りこぼしがあったのを修正しました (ソフトバンク X02NK など対応)。
- 投稿一覧で、ワード検索が正常に動作していなかった不具合を修正しました (Ktai Style 1.30 でエンバグ)。
- テンプレートタグ
ks_mb_get_form()において、絵文字投稿の設定によってエスケープを外す/外さないの違いがあった問題を修正しました (エスケープありのままとしました)。
今回は単純なバグ修正ではなく、セキュリティー修正を含んでいます。ただし、攻撃を行うには当該ウェブログに投稿できる権限が必要なため、影響は軽微と思われます。編集機能のバグは、セキュリティー欠陥に繋がる恐しいものだったのですね〰。
正直なところ、WordPress の API に与えるデーターを「DB 用にエスケープしたものにする」というルールがいまいちに思います。WordPress 2.5 以降はプリペアードステートメントが導入されたので、「エスケープしないデーターを与える」方が自然に思えるのですが、そうするとプラグインの対応が大変になるかもしれません。だいたい、wp-settings.php で $_GET, $_POST をまるごと magic_quote しているのは、安全ではあるもののいまいちですよね 
