Twitter поразила эпидемия вредоносных постов

Сервис микроблогов Twitter оказался подвержен новой XSS-уязвимости, приводящей к различным отклонениям в поведении веб-интерфейса. Специалисты в области безопасности рекомендуют воздержаться от использования веб-интерфейса до устранения угрозы.

По одной из версий, источником атаки стал пользователь RainbowTwtr, опубликовавший специально сформированный текст поста. Эксплойт состоит из ссылки на профиль пользователя (например, http://twitter.com/#!/username, где username - имя учетной записи пользователя), символов "#@", после которых можно разместить произвольный код. RainbowTwtr размещал специальный набор тегов, который раскрашивал запись полностью в тот или иной цвет (семь опубликованных записей со всеми цветами радуги по всей видимости и обусловил имя блога). Подобные уязвимости относятся к классу XSS-инъекций.

Однако после символов #@ можно разместить не только цветные картинки. В частности, разместив код JavaScript, который реагирует на наведение мыши (onmouseover), можно получить "ловушку" для пользователя. Наведя мышь на непонятную запись (цветная полоса, странные символы и т.п.), пользователь невольно активирует вредоносный сценарий, отправляющий его, например, на порносайт.

Никаких официальных комментариев от администрации ресурса не поступало. До устранения уязвимости не рекомендуется использовать веб-интерфейс Twitter, применяя не подверженные уязвимости сторонние клиенты (TweetDeck, Seesmic и др.) Также по неподтвержденной информации, данной уязвимости не подвержен новый интерфейс сервиса, который, однако, доступен пока лишь некоторым пользователям.

Как сообщил РИА Новости Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET, это далеко не первая массовая атака сервиса Twitter, основанная на различного рода XSS-уязвимостях.

"Уязвимость, которая была обнаружена сегодня, позволяет при просмотре сообщений от других пользователей осуществлять их непроизвольный ретвит. Плюс при определённых обстоятельствах уязвимость позволяет выполнить произвольный JavaScript-код. В итоге, атака может закончиться для пользователя установкой вредоносного ПО на компьютер, что может повлечь за собой и потерю Twitter-аккаунта", - говорит Матросов.