Twitter bucato da onmouseover

Twitter bucato da onmouseover

Si consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE
Si consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE

UPDATE (17:00): Twitter ha comunicato di aver individuato e corretto una falla XSS sulla piattaforma.

Roma – Che qualcosa non vada è evidente appena si accede al proprio account Twitter: bande nere o comunque scure a rendere illeggibili i tweet. E, allargando la pagina e diminuendo la dimensione dei caratteri, un’enorme scritta blu in verticale a riempire il resto della pagina. Twitter è stato attaccato: l’offensiva è stata già soprannominata onmouseover . Sconosciuti al momento gli autori dell’azione, che mette in luce qualche tipo di vulnerabilità nel codice del servizio di microblogging.

Il consiglio, per arginare l’offensiva, è non utilizzare il web ma un client (Tweetdeck, Twitterrific ecc). E in ogni caso è vivamente consigliato di non cliccare/passare il mouse su link, codici e colori presenti nei tweet. Si aprono infatti automaticamente link, tra cui siti pornografici e presumibilmente portatori di malware. Il risultato cambia a seconda del browser e del sistema operativo in uso.

Sarebbe stata sfruttata una vulnerabilità che permette a messaggi pop-up e siti terzi di aprirsi all’interno del browser anche solo passandoci sopra con il cursore, e che veniva già usata dagli utenti per giochi e divertimento.

Il tutto è dilagato velocemente, e intorno alle 14 ora italiana nella maggior parte dei tweet si legge:

“http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

Una volta diffusa la notizia dell’attacco, e probabilmente grazie ai consigli e al passaparola, il numero di tweet corrotti sembra essere rapidamente diminuito.

Claudio Tamburrino

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
21 set 2010
Link copiato negli appunti