21 сентября сайт сети микроблогов начал работать с перебоями. На сайте обнаружена XSS-уязвимость, проявлявшаяся следующим образом: при посещении сайта в браузере у пользователей Twitter сами собой открывались новые вкладки или выскакивали текстовые сообщения во весь экран.
Как сообщает Lenta.Ru, причина некорректной работы заключается в том, что некий пользователь запустил сценарии JavaScript, используя событие onMouseOver. РИА Новости поясняет, что пользователь с ником RainbowTwtr специальным образом сформировал текст вредоносного поста, включив в него ссылку на профиль пользователя (например, https://twitter.com/#!/username, где username - имя учетной записи пользователя) и символов "#@", после которых можно разместить произвольный код.
А специальный набор тегов раскрашивал запись полностью в тот или иной цвет. При этом подобные «художества» стали не самой главной неприятностью для пользователей Twitter. Наведя мышь на непонятную запись или цветную полосу, пользователь запускал вредоносный сценарий, отправлявший его, например, на порносайт.
Twitter рекомендовал пользователям работать с сервисом микроблогов с помощью сторонних клиентов (таких, как TweetDeck, Seesmic), а не через сайт.
В настоящий момент указанная уязвимость используется пользователями преимущественно в целях развлечения. Вместе с тем с помощью этого скрипта можно показывать спам или переводить пользователей на фишинговые сайты через всплывающие окна.
Смотрите также:
- Google представил обновленный поиск по записям в сетях →
- Новый «троян» распространяется по «аське» →
- Ботнет Kleber взломал 68 тысяч аккаунтов →