На сервисе микроблогов Twitter обнаружена очередная XSS-уязвимость, сообщается на сайте Sophos.
Пользователи Twitter пожаловались, что когда они работают с сервисом через веб-интерфейс, в браузере появляются всплывающие окна и открываются сторонние сайты — несмотря на то, что они не «кликали» на какие-либо баннеры или ссылки.
Выяснилось, что причина «странного» поведения Twitter — XSS-уязвимость, которая позволяет отправлять на сервис сообщения с JavaScript-кодом.
Воспользовавшись уязвимостью, можно размещать в Twitter ссылки на сторонние сайты, которые будут автоматически открываться при наведении курсора мыши на ссылку.
«Дырой» в системе безопасности не преминули воспользоваться злоумышленники. Так, при наведении мыши на ссылку в микроблоге жены бывшего премьер-министра Великобритании Гордона Брауна (Gordon Brown) Сары Браун (Sarah Brown) открывался японский порнографический сайт.
Предположительно, об уязвимости первым узнал пользователь @RainbowTwtr. Правда, он воспользовался обнаруженной «дырой» во вполне мирных целях — для того, чтобы превращать «твиты» в полоски разных цветов радуги.
Пока уязвимость не будет устранена, не рекомендуется работать с Twitter через веб-интерфейс — безопаснее будет воспользоваться программами-клиентами.
