ニュース

Windows/Mac版「Janetter」にXSS脆弱性、最新版v4.4.0.0へのアップデートを

140文字を超えるツイートの展開やDMの送信をサポートするなどの改善も

「Janetter」v4.4.0.0

 (株)ジェーンは2日、Twitterクライアントソフト「Janetter」のWindows/Mac向け最新版v4.4.0.0を公開した。今回のアップデートでは、特定条件下でツイートに含まれるJavaScriptコードが実行されてしまう脆弱性が修正された。

 「Janetter」の旧バージョンには、選択テキストの右クリックメニューから利用できる[ミュートワードに追加][ミュートアプリに追加]コマンドにサニタイズ(コードと解釈される恐れのある特殊文字を無害な文字へ変換すること)漏れがあり、任意のコードをクライアントで実行するクロスサイトスクリプティング(XSS)攻撃が可能になる脆弱性が存在する。たとえば、タイムラインでJavaScriptのコードを選択してミュートすると、そのコードが実行可能となる。

 同社によると、通常のタイムラインでコードが実行されたり、勝手にツイートされるなどの被害は出ていないとのことだが、速やかなアップデートを推奨している。

 そのほかにも、本バージョンでは140文字を超えるツイートの展開や、140文字を超えるダイレクトメッセージ(DM)の送信がサポートされた。また、“いいね”のアイコンをハートに変更したほか、初期設定の検索エンジンを“Google”へ切り替えるといった修正も施されている。

 なお、Windows/Mac版「Janetter」はTwitter社が定めた認証の上限に達しているため、ユーザーの新規登録が行えないので注意。