Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2017年5月2日

Janetter、ネタツイートのXSSが刺さり無限に「んほぉぉ!イッぐぅぅ!!」とダイアログが出る体にさせられる

エンジニアの方々がGW返上で対応中、まだ原因の修正には至っていないようです。 5/2 修正完了されたようなのでその旨を追加いたしました。
369
TERRY @terry_u16

湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ!イッぐぅぅ!!");}</script> 湯婆婆「フン。んほぉぉ!イッぐぅぅ!!んほぉぉ!イッぐぅぅ!!んほ

2017-04-28 12:02:34
TERRY @terry_u16

えっJanetter……まじすか……?

2017-05-01 18:58:40
TERRY @terry_u16

ちょっとまだ状況が飲み込めてない

2017-05-01 18:59:56
TERRY @terry_u16

なんかどうも僕のクソネタツイートの超絶初歩的なクソXSSがJanetterにぶっ刺さって「んほぉぉ!イッぐぅぅ!!」って無限にダイアログが出ているらしくこういうときどんな顔したらいいのかわからない twitter.com/terry_u16/stat…

2017-05-01 19:06:06
TERRY @terry_u16

なんというか……なんかすみません……

2017-05-01 19:06:38
TERRY @terry_u16

いや嘘でしょ……?

2017-05-01 19:08:37
TERRY @terry_u16

Janetterをイかせた男とかなんか嫌すぎるんで嘘だと言ってください

2017-05-01 19:10:17
TERRY @terry_u16

混乱した頭で呆然としながら永遠に止まらないTwitterの通知欄を見つめている

2017-05-01 19:22:13
TERRY @terry_u16

というかこの脆弱性が本当なら割とマジでヤバいのでもし万が一Janetterを使ってる方がいらっしゃいましたら対応されるまでご利用をお控え頂きますと幸いです…… twitter.com/terry_u16/stat…

2017-05-01 19:24:05
ぜんまい @zenmai577

学がないからてりーくんさんがバズってるツイートの意味がわからない。

2017-05-01 19:27:03
TERRY @terry_u16

@zenmai577 ざっくり言うと「アホプログラムが書かれたツイートを脆弱性のあるTwitterクライアントで表示しようとしたらそのプログラムがそのまま実行されちゃった」って感じですね。悪用されると理論上どんなプログラムも動かせちゃうので割とシャレになってない感じです……

2017-05-01 19:32:14
ぜんまい @zenmai577

@terry_u16 そのクライアントにデバッグしたったぞっつったら謝礼もらえるのでは?(意地汚い

2017-05-01 19:33:12
TERRY @terry_u16

@zenmai577 逆に損害賠償請求されないかビクビクしてるわw

2017-05-01 19:41:14
TERRY @terry_u16

いやこんなオチさすがに想定外すぎるやろ……(困惑)

2017-05-01 19:44:55
TERRY @terry_u16

「Janetterでそんなんなってるのかやってみよ」的なツイートをちらほら見かけるんですが最悪悪意あるスクリプト(プログラム)を埋め込まれてやりたい放題されかねないので使用をお控え頂きますことを重ねて強くお勧めいたします…… twitter.com/terry_u16/stat…

2017-05-01 20:00:40
TERRY @terry_u16

仮にも一企業が製作して公開したTwitterクライアントが湯婆婆と同レベルのセキュリティなのさすがに想定外すぎて頭抱える

2017-05-01 20:09:38
TERRY @terry_u16

(そもそもPC版Janetterってまだ生きてたのか……)

2017-05-01 20:27:30
TERRY @terry_u16

Twitterの通知欄に1500回くらい「んほぉぉ!イッぐぅぅ!!」って表示され続ける僕の身にもなってほしい

2017-05-01 20:37:08
でーぜろ @de0

JanetterにXSS刺さるのどうせ更新ほったらかしにしてる奴だけやろと思って試してみたら表示だけなら問題ないけどミュート登録時に普通に最新版でも発動してひどい

2017-05-01 20:38:18
TERRY @terry_u16

まあセキュリティの良い教材になったと思えばいい……のか……?(よくない)

2017-05-01 20:45:11
TERRY @terry_u16

最初に湯婆婆ツイートしたときは10人くらいの人にクスッと笑ってもらえたらいいなくらいの気持ちだったのにどうしてこうなった

2017-05-01 20:54:02
TERRY @terry_u16

誰か詳しくない人にも分かるようにスクリプトインジェクション脆弱性の危険性について解説した記事書いてくれないかな(丸投げ)

2017-05-01 20:56:44
TERRY @terry_u16

というか僕も専門は情報じゃなくて機械工学なのでXSS詳しい人に教えてほしい

2017-05-01 20:59:25
きょうしつ @zouwoutu

話題のJanetterの脆弱性の件、手順も含めて検証してみた。 「スクリプトが含まれるツイートを範囲選択>右クリック>ミュートアプリに追加」の手順で確かにスクリプトが動いた。「ミュートワードに追加」でも動く。前後に無関係の文字列が入っていても動く。 これはひどい。 pic.twitter.com/O3JKP9O6cS

2017-05-01 19:50:31
拡大
拡大
拡大
拡大
TERRY @terry_u16

Janetterのメンテしてる人(いるのか?)がGWに急遽会社に呼び出されないことをお祈りしております……

2017-05-01 21:27:13
残りを読む(43)

コメント

mikan @mikanjaechun 2017年5月2日
ツイートとプログラムってつながるの?(まずそこから)
25
ARENA @Arenacyan 2017年5月2日
Janetter(PC版)って実質的に開発終わってるのか。他に代替アプリが無いからスマホアプリ(Janetterではないw)と併用って形で使ってるけど引用とか文字数とか色々対応してなくて不便には不便。
3
夢乃 @iamdreamers 2017年5月2日
笑い事ではないんだけど笑えてしまう。 mikanjaechun ツイートとプログラムが繋がるって言うより、ツイートに書いたプログラムがJanetterに表示したときに実行されてしまう、と言えばいいのかな? 本当は"<script>プログラム</script>"と表示されないといけないのが、「プログラム」って部分が実行されちゃう感じ。(この説明で伝わるのかな?)
64
たるたる @heporap 2017年5月2日
自分で操作(テキストを選択してメニューから追加)する必要があるなら、危険性はかなり少ない。ただ環境がツイッターなので「このコードを○○すると面白いよ」的なツイートが出ないとも限らないので、安易に従うのはやめるべき。
11
たるたる @heporap 2017年5月2日
ツイッターの字数制限はあるだろうけど、ある条件下なら、100字程度あれば何でもできる。
7
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2017年5月2日
開発止まってたからてっきり、対応しない、公開停止、使ってるなら乗り替えろ、になると思ってた。対応お疲れ様です、ずっと愛用してます……。
54
ちはや🌸🐱 @Chihalog 2017年5月2日
機能追加がされないままのWin版のJanetterを使ってるので笑えない……(>_<)
7
ちはや🌸🐱 @Chihalog 2017年5月2日
あ。モーメントのまとめもあります → Janetterで「んほぉぉ!イッぐぅぅ!!」ダイアログが出る問題 by ばんくし(@ vaaaaanquish)さん https://twitter.com/i/moments/858582877310726145
6
おねむ @onemu1846 2017年5月2日
何の気なしにTwitterクライアントをイかせるとかゴットフィンガー過ぎでしょ
129
dona @dona_mq 2017年5月2日
タイトル、「ダイアログが出る体にさせられる」ってなってるけどこの場合「最初から無限にダイアログが出る体だった」が正しくね?「俺が開発する前からお前には淫乱の素質があったんだよ」的な(クソリプ)
176
HANATARAY @hanataray 2017年5月2日
お笑いごとかと思ったらいろいろ考えさせられるなあ
10
湯飲み @sencha_inYunomi 2017年5月2日
dona_mq 問題のコードに無条件で無限に例のコメント表示が繰り返される設定(for文)がありましてな。
5
湯飲み @sencha_inYunomi 2017年5月2日
仮にこれでfor文使わなかったり、回数上限設定しとけば無限表示バグは防止できたかもしれない(それでもツイート表示の度にイク上、根本的な脆弱性に変わりはないが)
19
Mill=O=Wisp @millowisp 2017年5月2日
Twitterクライアントの中では一番気に入ってるのだけどなぁ
16
Mizuta Fumitaka @Humi_TW 2017年5月2日
脆弱性としては結構ありきたりな部類なんだけれど、洒落にならないよなあ〜アホtweetで発覚して良かったと言うべきか(^^;;
30
Kita @_hktok 2017年5月2日
これは誰が悪いで括れる話ではなさそうな
16
幸箱亭ミミック(妖怪はげまーき) @happys_toolbox 2017年5月2日
何にしろ即時対応されているPGさん頭が下がります。
56
あおいきつね @aoikitsune 2017年5月2日
平成のサイバー韋駄天イカせ男…
11
Heyw65kZ4RiU @29zgJQepexzZ 2017年5月2日
</script>「へっへっへっ こんなに(セキュリティが)ガバガバになっちまいやがって…」 Janetter「らめぇ! (ウインドウ)出すのやめてぇ!」
28
伍長 @gotyou_H 2017年5月2日
庭木にハイタッチしたら根腐れしてて倒れ込んで家屋破損みたいな流れ
65
魔法少女チノ@ゆずと八月と角砂糖 @nsmr0604 2017年5月2日
今時のWebサービスのアプリ実装ではXSS対策なんて最初にやるべきこと。開発が止まって久しい化石プログラムには荷が重いかな しかも開発元がジェーンなので技術力は。。。
8
もうだめぽ @moudamepo150701 2017年5月2日
janetterは中の人が色々とアレな人間なんで俺は絶対に使わない
9
紺碧 @Konpekin 2017年5月2日
ツイッター公式でもかつて、ツイートされたscriptが起動してしまう脆弱性があって、発見した人が公式画面がバラバラになるお遊びscriptを拡散して祭りになったり、かと思いきやマウスオーバーでスパムを踏ませる悪意ツイが現れたり、一晩色々と大騒ぎになった事件ありましたよね…?もう知ってる人も少ない話なんだろうか…
41
SAKURA87@多摩丁督 @Sakura87_net 2017年5月2日
ワロタ(急いで自分のプログラムを確認しつつ)
24
仰凝亭源蔵@Genzouおじさん a.k.a. クソ署長 @gogot_man 2017年5月2日
あれ?最初は面白かったのに、見てるとだんだんと胃が痛くなってきたぞ…?
52
アルビレオ@炙りカルビ @albireo_B 2017年5月2日
Konpekin それってたぶんニコニコ動画の方が元ネタだよね。ニコニコはスクリプト実行できる脆弱性はふさいだけど、センスがあって特に実害のないいたずらへのリスペクトとして、そのスクリプトだけは実行可能にしたという
23
Dan Kogai @dankogai 2017年5月2日
逝ってしまったはずのアプリがイカされ続けてる件
28
SAKURA87@多摩丁督 @Sakura87_net 2017年5月2日
Janetterは逝ってしまったわ。XSSの理に導かれて。
21
BugbearR @BugbearR 2017年5月2日
これ単にツイート見ているだけでは発動しないんですよね? なので、そこまで危険性はないと思う。自分からミュートに突っ込んだ時に発動ですね。2年間発覚しないのも納得です。
1
3Dポーズ集 @3dpose 2017年5月2日
なんで"<"と">"をエスケープしなかったんだ……。
2
Ichigo Mayo@Vまよーん @15my 2017年5月2日
最近のブラウザだと「☑これ以上表示しない」があることを考えるとブラウザコンポーネントが古すぎやね...
6
Jean-Luc Picachu(CV:麦人) @JeanLuc_Picachu 2017年5月2日
せめて無限ループじゃなければなぁ。
3
cinefuk 🌀 @cinefuk 2017年5月2日
投稿者のユーザクライアントを確認の上 #Janetter を使ってる人めがけてDMを投げれば、XSS攻撃できるということか(即時使用停止推奨)
3
さかべあらと(ポーパル餅バニー) @sakabe_arato 2017年5月2日
デスクトップ版は長いこと開発停止状態で、絵文字に全く非対応だったり、近年のTwitterのバージョンアップに全然ついていけてない状況なんだけど、あれより使い易いと自分が思うものが見つからなくて結局使い続けてるのよなぁ
32
ボルフォッグ @kigantetu11 2017年5月2日
ぼくはまちちゃん! こんにちはこんにちは!!
11
山元 太朗 @tarogeorge 2017年5月2日
モバツイがサービス停止でJanetterに移って、ようやくアクセスできるようになったばかりだというのに…
1
平島ともみ @cbw_hirashima 2017年5月2日
無限ループが起こったら一種のセキュリティホールでGW期間中はお祭り騒ぎになっていたりして
0
mere @yoyo_mere 2017年5月2日
鼻水でるほど大笑いした後に自分の仕事を思い出して段々笑えなくなった……
12
大竹林賢一郎/おのれコロナ @rkouskysi 2017年5月2日
無意味にイかされるだけなら不具合解消はGW開けでいいと思うけど、そうもいかないんだろうなぁ
0
傘張長也(巽)@林檎様のディナーの添え物 @ZanderSouKu1 2017年5月2日
「へーおもしろそう」って感じで他のでも試す輩が出てくることを考えると、笑い事でも他人事でもないんで、マジ勘弁してください。せめてGW明けてからぁぁぁぁぁ
17
y "masa" x / x„ɐsɐɯ„ʎ @ymasax 2017年5月2日
まぁよくある話です。Janetterだけじゃない。
8
よーぐる @Seto_yasu1987 2017年5月2日
湯婆婆への何気ない風評被害について
36
ユーコン @yukon_px200 2017年5月2日
この人はnanaterryの作者さん?いつもお世話になってます。サイバーテロ行為で逮捕されてもnanaterryの更新は続けて下さいねw
0
ぬこち@真央ロス @nukochi75 2017年5月2日
ごめんけどめちゃわろたwwwww
1
bckyard :|| @bckyaD 2017年5月2日
昼のカップヌードルを吹くか吹かないかの瀬戸際
10
@door06764388 2017年5月2日
休日返上で逝くわけか……
9
珈琲牛乳 @coffreexx 2017年5月2日
凄い笑ったあと、GW返上の悲哀を深く感じている
10
佐渡災炎 @sadscient 2017年5月2日
いまどきこのレベルのXSSが刺さるとか思わんよなぁ…
9
Randolph Carter @RandolphCarter 2017年5月2日
湯婆婆イきすぎて死んでまう
9
節穴 @fsansn 2017年5月2日
まぁシャレで済む話で脆弱性が見つかったのは不幸中の幸いなんとちゃう
25
kartis56 @kartis56 2017年5月2日
テストするときループはちゃんと止まるように書けという…
3
翔陣 @syouzin 2017年5月2日
お腹を抱えて笑ってしまったw
0
the loyaltouch @theloyaltouch 2017年5月2日
kigantetu11 ややこしいけどそいつはXSS(クロスサイトスクリプティング)ではなくCSRF(クロスサイトリクエストフォージェリ)、そして当本文はXRP(クソリプ)
16
koromon @yamadian 2017年5月2日
XSS脆弱性ってもともとよく知らない人でも比較的理解しやすくて面白いよね
0
とら@AHC @TIG0906 2017年5月2日
担当PGの休日出勤手当てが満額支給されることを願ってやまない
16
@kuronekosanX 2017年5月2日
janetterから変えたいけれど、返信ボタンを押していくだけで簡単に複数人のリプライをまとめられるクライアントを他に知らない
0
CVB @wws4734 2017年5月2日
これで潰れた休日に対してなんらかの補填があることを願ってやまないけど……ないんだろうなぁ…
3
亜山 雪 @ayamasets 2017年5月2日
PHPだと入ってくる文字列はとりあえずhtmlspecialcharactersでエスケープするよね。それとバッファオーバーランを防ぐために適切な長さでカットする。
1
nekosencho @Neko_Sencho 2017年5月2日
開発の人が社員じゃないっぽいんだがどういう体制なんだろう
2
ジェリーブレイク @TruthorDare1984 2017年5月2日
これ音声読み上げ機能とか入れてたら・・・
9
もっこㄘん @Mokko_Chin 2017年5月2日
マジかよババァ変態だな。
3
TERRY @terry_u16 2017年5月2日
PC版Janetterがアップデートされ、脆弱性が修正されたそうです。素早い対応本当にお疲れ様でした……! http://janetter.net/jp/history.html
43
akya (T.Enomoto) @akya_san 2017年5月2日
こんなの見せられたらJane styleも隠れたセキュリティホールが有りそうで怖い(なお2ちゃんねるの仕様上乗り換えは)
2
Ichigo Mayo@Vまよーん @15my 2017年5月2日
ところで最近マストドンのクライアントが大量に出てるじゃろ...。そいつらが実装に掛けた時間を考えるとあんまり(省略されました
24
魔法少女チノ@ゆずと八月と角砂糖 @nsmr0604 2017年5月2日
そうね、Mastodonもタグがまんまデータとして降ってくるから気をつけなくちゃね
8
Daregada @daichi14657 2017年5月2日
いやいや、今回は古いソフトの見つけにくい場所に残ってたってだけで、このレベルの初歩的なエスケープ忘れてました案件が新規作成するソフトにあるはずが...
2
佐野 剛士 @akumatengoku 2017年5月2日
修正されたのね。Janetterより使いやすいPCクライアントがないんだよねえ。あったら教えて下さい。
15
@todohami 2017年5月2日
対応ありがとうございます。
2
如月ダーク(KADONE) @dark_kisaragi 2017年5月2日
デバッガー経験有りとしては、こういうのを見つけた時ほどテンションが上がるものはない……だが流石に実機上で実際にぶっ刺さった人には同情を禁じ得ないし素早く対応してくれたJanetterのプログラマさんにも頭が上がらない
35
ビッター @domtrop0083 2017年5月2日
悪意あるスクリプトじゃなくてよかったなぁ。
8
🚮 @recyclebin5385 2017年5月2日
XSSじゃないんじゃねと思ったが今はXSSの定義が広くなっていてこれは格納型XSSに含まれるものらしいな
3
ちはや🌸🐱 @Chihalog 2017年5月2日
脆弱性のおかげかもでかで、最近のツイッター本家の変更に一部対応されたうえで配信されてうれしいー!
12
ウニ友達 @Bonboriman 2017年5月2日
更新終了したプログラムには気をつけよう!(YUSK注意喚起シリーズ)
1
名無し @ScreamIcecream7 2017年5月3日
株式会社ジェーンみたいなクソ会社のクライアントなんてそんなもんだからね 辞めた人間が修正してるって何事だよって思っても技師というものがマジであの会社には存在しないんだからしゃーない
12
なちゃ @nachakey 2017年5月3日
で仕組み上これは本当にXSSになってるのかな(なってる気もするけど)。 XSSなら何でも実行できるなんて話にはならんけど。 なんでも実行できるかどうかはクライアントの作りによるけど、普通にコンポーネント使ってるならやや考えにくい気がする。 あとXSSは知らない人でもわかりやすいと言ってる人いるけど多分分かってない。 XSSは、なぜ脆弱性になるのか、素人にはむしろやや分かりにくい部類に入る気がする(分かった気にはなりやすいかもしれない)。
0
sou51@フェニックスサポーター @_sou51_ 2017年5月3日
Chihalog ほんとそれ。脆弱性対応だけだと思ってたから、地味にありがたい
8
亜山 雪 @ayamasets 2017年5月3日
クロスサイトスクリプティングというよりはJavaScriptインジェクションやね。
0
アルビレオ@炙りカルビ @albireo_B 2017年5月3日
ayamasets その二つを別のものとして切り分ける定義が思い浮かばないです
4
メカめがね @freakmeganeout 2017年5月3日
XSSの「クロスサイト」という名称はあくまで歴史的なもので、初期はサイト横断的なスクリプトのみを指していたが、現在は単独のサイトで完結するものもXSSに含まれる…と勉強した記憶がある
12
亜山 雪 @ayamasets 2017年5月3日
freakmeganeout そうだったのか。勉強になった、ありがとうございます。
1
y "masa" x / x„ɐsɐɯ„ʎ @ymasax 2017年5月3日
ん?このスクリプトを他人が実行することが可能であった場合に悪意のあるスクリプトをしこんでおき、他のサイトから大量にユーザーをリダイレクトするように仕込んでおくとこのサイトが大量のユーザーを攻撃できるようになるというもの。スクリプトが実行できるのは自分のみのようでそれならばXSSのターゲットにもならないかと。
0
鉄イさん @kiwifruit_cake 2017年5月3日
書き込んで1コマンドですぐ絶頂。
0
碧🌒 ~𝒜𝒪~ @Turkis_Mond 2017年5月3日
ご無沙汰ぶりのアップデート(ver.4.4.0.0)がリリースされて穴は塞がれました。いつになく速い対応でびっくり
4
うてん。 @uten00 2017年5月4日
はまちちゃんの時もそうだけどこれ気づいてる人はいたかもしれないが大ごとにしないと対処はなかなかされなかったろうなー。「化石みたいなセキュリティホールを実行するネタ」がそのままプラスになった。ツイート元の人は申し訳なく思う必要ない。むしろグッジョブです。
4
宮林 ⋈ @ 豊橋市 @pcmiya 2017年5月4日
ありがたや~。 検索がGoogleになったのが地味に嬉しい。
4
あや @aya11misako03 2017年5月4日
笑ったらあかんけど笑ってもた。
0
枝毛上げ @edageage 2017年5月4日
ダイアログの「OK」も面白い。あらゆる意味でOKじゃねえんだよなあ
16
ディアリーン@アークス @amatuki314 2017年5月4日
想定外の穴はいっぱいあるから・・・ 何年か前には特定のキー連打されるとWinのロックが解除されるとかもあって、見つけたの5~6歳の子供だったとか
0
黄月 @h_ln66 2017年5月5日
Janetterにも穴はあったんだね……。
5
köümë™ @tknr_koume 2017年5月5日
2ちゃんねる運営Jimが専用ブラウザの作者にTwitterで暴言 - NAVER まとめ https://matome.naver.jp/odai/2142419396168680301
0
たけ爺 @take_ji 2017年5月6日
ファントム無頼の”50セントの指令”思い出したわ。
0
HellcatFU @doracatFU 2017年5月15日
修正されましたか 開発者様 本当にありがとうございました・・・
0
アリ〜 @Rn3oAxnzuRvPt9l 2019年8月7日
高校野球はお子様が頑張っておられる無限大の御姿なのでミスやエラーはあたりまえで御座います。逆に負けられても?獅噛みついていく根性に胸撃たれました。感動をありがとうございます。
0