シュールTwitterクライアント「Janetter」がアップデートされ、「NGワード登録時にXSSの脆弱性があった不具合」が修正されました。このアップデートの背景には、とあるネタツイートの拡散があったと思われます。
拡散されたのはツイートには「んほぉぉ!イッぐぅぅ!!」という文言を表示させるJavaScriptが含まれていました。これはクロスサイトスクリプティング(XSS)という手段で、ブラウザ上で任意の操作を実行できる脆弱性を利用し表示させているものでした(関連記事)。
通常のTwitterクライアントであれば、このXSSが動作することはありませんが、なぜかアップデート前のJanetterでコード部分をミュートすると無限に「んほぉぉ!イッぐぅぅ!!」が表示される状態になっていました。投稿者もまさかこんなことになるとは思ってもみなかったでしょう……。
この脆弱性について、発端となったユーザーは「本当なら割とマジでヤバい」「対応されるまでご利用をお控え頂きますと幸いです」とツイート。その後JanetterのPC版を作っていたというプログラマーが修正作業中であることを報告していました。
ゴールデンウイークだというのに……修正お疲れさまでした。
ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
朗報 iPhone 7 RED、火薬でふっ飛ばすと壊れる脆弱性は見つからず
iPhone 7に「世界最強の酸」をぶっかけてみた結果、また新たな脆弱性が判明……しないだと!?
iPhone 7にまたも脆弱性 50口径ライフルで撃たれるとあっさり壊れる
iPhone 7に新たな脆弱性発覚 「日本刀で斬ると壊れる」
iPhone 7に早くも脆弱性が見つかる 「油圧プレス機でプレスすると壊れる」
15.5万件余りの個人情報流出か プロバスケリーグ、チケットサイトの不正アクセスについてぴあが謝罪
Windows Vista、サポート終了 日本ではまだ約14万台が利用とトレンドマイクロが指摘、移行を推奨朗報 iPhone 7 RED、火薬でふっ飛ばすと壊れる脆弱性は見つからず
日本郵便、「国際郵便マイページサービス」に不正アクセス 約3万件個人情報流出のおそれ
都税と住宅金融支援機構のクレジット支払サイトに不正アクセス 個人情報流出の可能性Copyright © ITmedia, Inc. All Rights Reserved.
