Twitterクライアント「Janetter」がアップデートされ、「NGワード登録時にXSSの脆弱性があった不具合」が修正されました。このアップデートの背景には、とあるネタツイートの拡散があったと思われます。

シュール

拡散されたのはツイートには「んほぉぉ！イッぐぅぅ！！」という文言を表示させるJavaScriptが含まれていました。これはクロスサイトスクリプティング（XSS）という手段で、ブラウザ上で任意の操作を実行できる脆弱性を利用し表示させているものでした（関連記事）。

通常のTwitterクライアントであれば、このXSSが動作することはありませんが、なぜかアップデート前のJanetterでコード部分をミュートすると無限に「んほぉぉ！イッぐぅぅ！！」が表示される状態になっていました。投稿者もまさかこんなことになるとは思ってもみなかったでしょう……。

この脆弱性について、発端となったユーザーは「本当なら割とマジでヤバい」「対応されるまでご利用をお控え頂きますと幸いです」とツイート。その後JanetterのPC版を作っていたというプログラマーが修正作業中であることを報告していました。

ゴールデンウイークだというのに……修正お疲れさまでした。