В веб-интерфейсе Twitter обнаружена серьезная уязвимость
В веб-интерфейсе Twitter обнаружена серьезная уязвимость
Британский производитель антивирусного программного обеспечения Sophos сегодня сообщил об обнаружении новой и довольно опасной уязвимости в веб-интерфейсе популярного сервиса блогов Twitter. В Sophos говорят, что уязвимость затрагивает только сам Twitter, но не клиентские приложения, взаимодействующие с сетью.
Также в компании говорят, что уязвимость уже известна хакерам и они довольно активно ее эксплуатируют, переправляя пользователей на сторонние порносайты с вредоносным программным обеспечением.
Работает уязвимость довольно просто: хакеру нужно встроить небольшой кусочек JavaScript-кода в размещаемую гиперссылку. В коде должно присутствовать событие onmouseover, реагирующее на наведение курсора мыши на злонамеренную гиперссылку. Когда пользователь наводит курсор на ссылку, то происходит срабатывание события и обработка условий заложенных в событие. Среди таких условий могут быть как просто всплывающие диалоговые окна, так и редиректы на злонамеренные сайты.
Очевидно, что данный трюк может быть задействован не только спамерами, но и распространителями вредоносного программного обеспечения. Впрочем, в Sophos отмечают, что трюк с событием onmouseover свойственен не только Twitter, но и ряду почтовых клиентов, причем в последнем случае данная уязвимость присутствует уже не один год.
Официально в Twitter проблему пока не прокомментировали.
Обновление от 20:17 мск: администрация Twitter сообщила о закрытии данной кросс-скриптинговой технологии.