記事検索

Twitterクライアント「Janetter」に脆弱性、情報漏えいの恐れ


 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は19日、Twitterクライアントソフト「Janetter」に情報漏えいおよびクロスサイトリクエストフォージェリ(CSRF)の脆弱性が見つかったとして注意喚起した。

 脆弱性の影響を受けるのはWindows版3.3.0.0より前、およびMac版3.3.0より前のバージョン。情報漏えいの脆弱性を悪用されると、ウェブブラウザーで悪意あるページを読み込んだ場合、Twitterとの通信に使用されるセッション情報などを取得される恐れがある。

 また、CSRFの脆弱性は、ユーザーになりすましてTwitterに投稿されたり、ユーザーのシステムに保存されている画像をアップロードされるというもの。Janetterを実行している権限で任意のOSコマンドを実行される可能性もある。

 Windows版およびMac版の最新版にアップデートすれば、脆弱性を回避できる。なお、Windws版には自動アップデート機能が実装されているため、1日1回、起動時に自動更新されるという。

【お詫びと訂正 19:12】
 記事初出時、脆弱性の影響を受けるバージョンについて、「Windows版3.3.0.0以前、およびMac版3.3.0以前」と記載していましたが、正しくは「Windows版3.3.0.0より前、Mac版3.3.0より前」です(それぞれバージョン3.3.0.0、3.3.0では、脆弱性は修正されています)。お詫びして訂正いたします。


関連情報


(増田 覚)

2012/3/19 16:59