[ウェブ]Twitter、webにXSS脆弱性か

私のTLでも大騒ぎです。

9/21 21:50現在、Twitterのwebホームを開くと、Javascriptによって悪意あるスクリプトが実行される可能性があります。twitter.comからのツイートはおやめください。今すぐページを閉じ、Twit・Tweenやついっぷるなど、外部アプリケーションに避難することをおすすめします。[1]

また、21:55現在で、TwitterのwebでTLを受信するだけで悪意あるスクリプトが実行されることも確認されました。[2] webにはさわらず(ログアウトする場合はホームにはアクセスせずhttp://twitter.com/account/logoutなど、ログアウトモードに直接アクセスしてください)外部アプリケーションからTLを眺めることを推奨します。

ちなみに最初のスクリプトはどういうものかというと、onmouseover属性を使ったものです。つまり、各postの上にカーソルを持って行くだけでスクリプトが実行されるというもの。お気に入りにしたりリツイートしたりする際には全てこの属性にかかわるので、実行されると。いやらしい。

自動投稿されるバグ(バグじゃないけど適当な呼び名が思いつかない)に関しては、ハッシュタグ・リプライ周りの脆弱性を悪用したもののようです。[3]

22:05現在 どうも亜種が多く出回っている模様で、正確な症状は把握できていないようです。もういちどいいます。外部アプリを使用してください。非常に危険です。

参考URL


  1. http://twitter.com/jp_iphone/status/25106746900 ^
  2. http://twitter.com/TheNEET/status/25115069091
    ^
  3. http://twitter.com/hapinano/status/25102437219
    ^