Twitterは本日、人気クライアントTweetDeckのXSS脆弱性を修正するため、危機的状況に陥りました。この脆弱性により、ユーザーはウイルスのような脆弱性を悪用したツイートを、意図せずリツイートしてしまう可能性があります。迅速な対応にもかかわらず、この脆弱性は瞬く間に拡散し、数分間で数万件ものリツイートを獲得し、その数は今もなお増加を続けています。
現在適用されている修正を適用するにはユーザーの介入が必要であり、セキュリティホールを塞ぐにはログアウトが必要です。さらに、ログアウト後も問題が報告されているユーザーもいます。
うわあ。TweetDeckからログアウトしてログインし直したら、こんなのが出た。明らかにTwitterの「修正」は効いてない! pic.twitter.com/Sv7bpvaqfQ
— マット・ロゾフ (@MattRosoff) 2014 年 6 月 11 日
//
ここでは、迷惑なリツイートサイクルダイアログボックスを閉じ、サードパーティのアプリケーションによる Twitter アカウントへのアクセスを許可解除し、TweetDeck からログアウトする方法について、簡単な手順を説明します。
この脆弱性に感染した場合、TweetDeckが表示するダイアログボックスは、たとえ閉じる場合でもクリックしないでください。代わりに、タスクマネージャーを起動し(Ctrl-Alt-Del)、従来の方法で終了してください。
ジム・ノリス Windows タスク マネージャーを使用して、クライアントと対話せずに Tweet Deck を終了します。
次に、右上隅にある歯車アイコンをクリックして、Twitter アカウントの設定ページに移動します。
ジム・ノリス 歯車アイコンをクリックして、Twitter 設定インターフェースを開きます。
次に、左側のメニューの下部近くにある「アプリ」エントリを見つけてクリックします。
ジム・ノリス 左側のメニューで「アプリ」をクリックします。
Twitterにアクセスを許可したアプリのリストが表示されます。TweetDeckを見つけて「アクセスを取り消す」をクリックしてください。これでTweetDeckがアカウントにアクセスできなくなります。ついでに、使わなくなったアプリの許可も取り消しましょう。おそらくかなりの数があるはずです。
ジム・ノリス TweetDeckへのアクセスを取り消す
さあ、TweetDeckからログアウトしましょう。TweetDeckを起動し(Chrome版が最適)、再認証を求めるプロンプトは無視してください。左下の歯車アイコンをクリックすると、TweetDeckからログアウトするための選択肢が表示されます。ログアウトすると、起動ページが表示されます。そこに到達すれば完了です。
後ほど再度サインインすると、TweetDeckの再認証を求められます。パッチを適用したコードが適用されているので、再認証を行ってください。
ジム・ノリス 左下の歯車アイコンを使用してTweetDeckからログアウトします。
Twitterは今朝、修正内容を評価するためTweetdeckを一時的に停止し、90分後にサービスを復旧しました。ユーザーは問題なく利用できるはずですが、より神経質なツイッターユーザーは、1日ほど通常のウェブクライアントを使い続けて、状況がどうなるか様子を見るのが良いかもしれません。
