EvernoteのXSS脆弱性

Evernote の XSS 脆弱性に関して mala 氏のつぶやきより:

• http://twitter.com/bulkneets/status/60033353998532608 

念のため短縮URL無しでもっかい貼っておきますね。画像を埋めこんでますがscriptタグでもいけます。https://www.evernote.com/noteit.action?url=%3C/script%3E%3Cimg%20src=http://oq.la/i%3E

•  http://twitter.com/a_hana/status/59969411364298752

noteit.action?url=の次を</script>で一旦切って、その後に任意のHTMLなりを入れるわけか。今時こんなことが…EverNote怖い。 

Web版Evernoteには深刻なXSS脆弱性がある。問題はアプリケーション版だとどうなのよ、ってこと。実際どうなんでしょ。

追記:

• http://twitter.com/hdknr/status/60053688890306561

@masayang Safariのプラグインはアプリがスクレープしているっぽいから大丈夫だとおもいますが、Chromeはブラウザ(Javascript)でEvernoteサーバーにスクレープさせてるっぽいからさっきから危険な気がしてる。