TwitterにXSS攻撃--ソフォス報告 - CNET Japan(情報元のブックマーク数)
はまちちゃん!!!www、なんか、ソフトバンク公式Twitterからも重要とか流れていた模様・・・
セキュリティ会社Sophosは米国時間9月21日、Twitterのウェブインターフェースを悪用した、潜在的な危険性を持つ新たなハックに関するエントリを同社ブログに投稿した。影響を受けるのはTwitter.comのみで、サードパーティー製クライアントは影響を受けない。
TwitterにXSS攻撃--ソフォス報告 - CNET Japan
このハックの仕組みは次のようになっている。ツイートのURL内にJavaScriptコード(onmouseover)を挿入することで、ユーザーがリンクの上にカーソルを移動させた場合にポップアップメッセージを表示させるようにする。 Sophosは、この攻撃を最初に起こした人々は今のところ「遊びでやっている」が、スパマーや悪意あるコードの提供者らに悪用される可能性もあるとしている。この問題は、先週公開された新しいTwitterのウェブインターフェースとともに、従来のインターフェースにも影響があると思われる。
直ったみたいです。
アップデート(米国太平洋時間午前6時52分):Twitterは、ステータスブログで「パッチが間もなく完全に適用されると思う」と述べる。
TwitterにXSS攻撃--ソフォス報告 - CNET Japan
アップデート(米国太平洋時間午前7時08分):ステータスブログによると、脆弱性は完全にパッチされたという。
原因は、onmouseoverの脆弱性修正をデグレーションさせちゃったみたいです。
Twitterの脆弱性を突いたコードが拡散し、意図しないツイートをしてしまうケースなどが多発していた問題で、Twitterは9月22日までに、原因となっていた脆弱性を解決したと発表した。
Twitterが悪用多発の脆弱性を解決、「パスワード変更の必要はなし」 - ITmedia エンタープライズ
Twitterによると、この問題ではクロスサイトスクリプティング(XSS)の脆弱性が悪用され、ユーザーがJavaScriptコードを仕込んだツイートを投稿して別のユーザーのブラウザで実行させようとしていた。この脆弱性は先月見つけて解決したはずだったが、最近のアップグレードによって、知らないうちに再発してしまったという。
何者かがこれに気付いてTwitter.comのサイト上で悪用した。まずツイートのリンク上にマウスを置くとツイートの色が変わってポップアップ画面が表示される「マウスオーバー」問題が発生。続いて、ユーザーが知らないうちに元のツイートをリツイートしてしまうコードが出現した。
セキュリティ企業Kaspersky Labのブログによれば、脆弱性を悪用するワームのコードがIRCに投稿されて出回ったため、この問題に関連したとみられる投稿はピーク時には毎秒100件のペースで増殖した。悪質な投稿の総数は50万を大幅に超えたはずだと推測している。
Twitterが悪用多発の脆弱性を解決、「パスワード変更の必要はなし」 - ITmedia エンタープライズ
英Sophosの研究者のブログによると、ブラウン英首相の前妻のTwitterページには、日本のポルノサイトにユーザーをリダイレクトするツイートが掲載された。こうした行為の大部分は単なるいたずら目的とみられるが、犯罪目的で悪質なコードを仕込んだWebサイトにユーザーを誘導する手口にも利用される可能性があったと指摘している。
Twitterは、今回の問題を発生させた攻撃について、クロスサイトスクリプティング(XSS)が原因で、JavaScriptコードがプレーンテキストとしてツイートに投稿され、そのツイートがユーザーのブラウザで実行可能であった、と説明している。同社によると、この問題は8月に認識および対応されていたが、最近のアップデート(新しいTwitterとは無関係だという)により再度表面化してしまったという。
Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用 - CNET Japan
Sophosにははまちちゃんの名前出ないんだねぇ。
関連URL
- Twitter ‘onmouseover’ security flaw widely exploited | Graham Cluley's blog
- Twitter.comでワーム拡散中、細工されたツイートにマウスオーバーするだけでRT -INTERNET Watch
- Twitterに非常に危険な脆弱性! マウスカーソルを合わせるだけでJavaScript実行 | RBB TODAY (エンタープライズ、セキュリティのニュース)
- こんにちはこんにちは! twitterでXSS脆弱性発生! :アルファルファモザイク
- BBC News - Twitter scrambles to block worms
- エフセキュアブログ : 「Twitter.com」に放たれたワーム
- XSS Twitter flaw used to expose users to potentially malicious sites
- Sunbelt Blog: Twitter XSS vulnerability fixed
- Twitter OnMouseOver Flaw In The Wild - Security Labs
- Twitter Mouseover Flaw Allows Script Injection | Malware Blog | Trend Micro
- Worms Loose on Twitter.com - F-Secure Weblog : News from the Lab
- Live Twitter XSS - Securelist
- asahi.com(朝日新聞社):ツイッターが一時動作異常 意図しないつぶやきを投稿 - 社会
- TwitterにXSS攻撃--ソフォス報告 - CNET Japan
- Twitter: The new stage for hacker hijinks | InSecurity Complex - CNET News
- Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用 - CNET Japan
- Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用 - CNET Japan
- OnMouseOver XSS plagues Twitter - Update - The H Security: News and Features
- Twitter、「マウスオーバーの」問題について終息宣言……JavaScript含むツイートが一時蔓延 | RBB TODAY (エンタープライズ、セキュリティのニュース)