В социальной сети Twitter была обнаружена уязвимость, позволяющая любому пользователю вставлять в свои сообщения вредоносный код.
Пользователи социальной сети Twitter вновь оказались в опасности – на официальном веб-сайте микроблогов была обнаружена XSS-уязвимость, позволяющая любому желающему вставлять в свои сообщения исполняемый вредоносный код.
В течение последних суток в лентах многих пользователей появились нечитаемые твиты, состоящие из коротких скриптов, которые при наведении мыши выполняли различные действия. Так, самые невинные из них всего лишь окрашивали сообщения в определенный цвет или выдавали посетителю окно с каким-нибудь текстом, в то время как другие вели на сайты с вредоносным ПО или порнографические ресурсы.
По словам Грэхема Клюли (Graham Cluley), старшего технического консультанта антивирусной компании Sophos, большинство блогеров, обнаруживших уязвимость, стали использовать ее ради забавы, однако для интернет-мошенников она вполне могла стать инструментом для совершения масштабного киберпреступления. Так, опасные твиты стали появляться даже у знаменитых блогеров, имеющих сотни тысяч подписчиков.
Впрочем, создатели социальной сети смогли оперативно закрыть «дыру». Как сообщает Боб Лорд (Bob Lord) из команды разработчиков Twitter, эта уязвимость уже была устранена в начале месяца, однако после недавнего обновления почему-то вновь стала работать. Он добавил, что волна сообщений с исполняемым кодом JavaScript не могла стать причиной разглашения чьих-либо персональных данных, поэтому пользователям не придется менять пароли к своим учетным записям.
По данным Sophos, в результате массового использования «дыры» могли пострадать лишь посетители главной страницы Twitter. Обновленный веб-интерфейс, мобильная версия сайта, а также клиентские приложения для ПК и смартфонов оказались не подвержены данной XSS-уязвимости.