- 抽出タブ条件のクラッシュ、コードインジェクションの修正
滅多に無いことですが、特定の手順を踏むと起動直後にクラッシュしてしまって使えなくなるのでアップデートしましょう。
概要
MIKU Langのコンパイル機能(Rubyコードに変換する機能)の文字列リテラルのエスケープに問題がありました。 これを悪用すると、コンパイル結果のRubyコードがMIKU Langのコードと異なる結果になる場合があります。また、コンパイル結果としてRubyの文法的に誤ったコードを出力させることができます。
抽出タブの設定を変更できる場合、コードインジェクションを成立させることができます。
mikutterへの被害
たとえば抽出タブ設定で以下のような入力をした状態で抽出タブに着信があった場合、mikutterがクラッシュします。
ホームタイムラインなどの、起動時に必ずMessage(TweetやToot)が読み込まれるようなデータソースを選択していると、起動した瞬間にクラッシュするようになります。
影響範囲
mikutter 3.0.0以降のすべてのmikutterに存在します(マ!?)。
mikutter 4.1以外のmikutterはすでにサポートが終了しているため、アップデートしてください。
危険度
着信したMessageの内容に細工しても攻撃は成立しません。
設定値として自分でこのような値を設定しないと成立しません。 オフラインイベントでノートPCをロックせずに放置していて、勝手に末尾にバックスラッシュを植えていくマンに見つかってしまうといったことがない限り大丈夫だと思います。
ですがクラッシュループに入らなくても、これによって抽出タブに設定したフィルタが思ったように効かないといったことも考えられるのでやっぱりアップデートしましょう。
対策
mikutter 4.1.5以降にアップデートしましょう。 できない場合は、「ちょっと抽出タブの設定を言うとおり変えてくれませんか」といった内容の不審なDMには耳を貸さないようにしましょう。フォロワーは皆敵です。