最新情報: Twitterは、火曜日にTwitterウェブサイトを潜在的に危険なリンクの地雷原と化させていた危険な脆弱性を修正したと発表しました。同社は火曜日早朝、「XSS攻撃は完全に修正され、悪用は不可能になったはずです」とツイートしました。
同日早朝、セキュリティ上の欠陥により、Twitter のウェブサイトが混乱状態となり、他のユーザーのツイートにマウスを重ねるだけで起動する迷惑なポップアップ ウィンドウが多数表示される危険な状態になった。
この脆弱性は、ツイートに「onmouseover」コマンドを含むJavaScriptの行を挿入することで発動します。ほとんどの人は、この脆弱性を遊び心のあるトリックとして利用しているようです。ユーザーがマウスオーバーした際に、煩わしいものの無害なポップアップメッセージが表示されるのです。
しかし、ソフォスによると、Twitterのハッキングは悪意のある第三者のウェブサイトにユーザーを誘導するために利用される可能性があるとのことです。例えば、ゴードン・ブラウン元英国首相の妻サラ・ブラウン氏は、ユーザーを日本のハードコアポルノサイトに誘導してしまったことがあります。
さらに悪いことに、このエクスプロイトはマウスオーバー時にステータスの更新情報を入力して送信するためにも利用されており、急速に拡散しています。私のTwitterフィードは「onmouseover」JavaScriptを含むメッセージで溢れています。
Twitterは当初、この問題に取り組んでいると発表していました。カスペルスキー研究所のゲオルグ・ヴィチェルスキー氏は、「Twitterは現在、リンクを適切にエスケープしており、この特定の脆弱性は解消されたようです」と述べています。
現時点では、Twitter ユーザーは TweetDeck や Seesmic などのサードパーティ クライアントからサイトにアクセスするか、この脆弱性が適用されない mobile.twitter.com を使用する必要があります。
新しく再設計された Twitter.com へのアクセスをすでに許可されているユーザーは、この脆弱性の影響を受けることはないはずです。
