Тысячи пользователей пострадали от уязвимости в Twitter

При наведении курсора мыши на ссылки в Twitter появляются всплывающие окна и открываются сторонние сайты.


На сервисе микроблогов Twitter обнаружена очередная XSS-уязвимость, сообщается на сайте Sophos.

Пользователи Twitter пожаловались, что когда они работают с сервисом через веб-интерфейс, в браузере появляются всплывающие окна и открываются сторонние сайты — несмотря на то, что они не «кликали» на какие-либо баннеры или ссылки.

Выяснилось, что причина «странного» поведения Twitter — XSS-уязвимость, которая позволяет отправлять на сервис сообщения с JavaScript-кодом.

Воспользовавшись уязвимостью, можно размещать в Twitter ссылки на сторонние сайты, которые будут автоматически открываться при наведении курсора мыши на ссылку.

«Дырой» в системе безопасности не преминули воспользоваться злоумышленники. Так, при наведении мыши на ссылку в микроблоге жены бывшего премьер-министра Великобритании Гордона Брауна (Gordon Brown) Сары Браун (Sarah Brown) открывался японский порнографический сайт.

Предположительно, об уязвимости первым узнал пользователь @RainbowTwtr. Правда, он воспользовался обнаруженной «дырой» во вполне мирных целях — для того, чтобы превращать «твиты» в полоски разных цветов радуги.

Пока уязвимость не будет устранена, не рекомендуется работать с Twitter через веб-интерфейс — безопаснее будет воспользоваться программами-клиентами.

Обновлено 21.09.2010 в 17:59:

Сотрудник Twitter сообщил, что XSS-уязвимость устранена. По данным Netcraft, первоисточником информации об уязвимости является авcтралийский подросток с псевдонимом @zzap.