安全公司Sophos周二早些时候发表了一篇博客文章,强调了Twitter网站界面的一种新的、潜在的危险黑客行为。它只影响Twitter.com,而不影响第三方客户端。
下面是它的基本工作原理:通过在tweet中的URL中添加一段JavaScript代码(“onmouseover”),用户可能会在某人将光标悬停在该链接上时导致弹出消息。索弗斯指出,目前,漏洞的主要利用者正在利用它来“娱乐和游戏”,但它可能被垃圾邮件发送者或恶意代码供应商使用。它似乎在上周推出的经过重新设计的Twitter网站界面以及它的前身中都起了作用。
“Mouseover”黑客并不是特别复杂,在脆弱的电子邮件客户端已经实施了多年。
Sophos注意到,许多Twitter用户都在玩这个游戏,但该公司并没有做出官方反应。推特上的代表没有立即发表评论。
更新5:3凌晨PDT:Sophos注意到,这种利用正在迅速蔓延,现在正被用来重定向到一些核心网站。
更新5:51凌晨PDT:安全漏洞现在正被用来“自动跳转”更多鼠标链接,成千上万的Twitter用户正在成为它的牺牲品。目前,使用第三方Twitter客户端可能是最安全的选择。
更新6:49凌晨PDT:Twitter发布了一份对缺陷的基本承认,并表示正在努力纠正这一缺陷。该公司在推文中写道:“我们已经确定并正在修补XSS攻击;一如既往,如果您有此类漏洞的信息,请留言@safety(Twitter的官方安全帐户)。
CNET选择不链接到有关的tweet,因为它重定向到Twitter.com域名,这可能仍然会带来问题。
PD T:Twitter的状态博客说,“我们预计该补丁将很快全面推出,并将在更新时再次更新。”
更新7:08上午PDT:状态博客帖子已经更新,称Twitter漏洞已经被“完全修补”。
更新8:57上午PDT:在大量Twitter用户指向与安全漏洞有关的“matsta”名称后,帐户@matsta已被暂停,一名自称是帐户所有者的人已与CNET联系,声称对发现漏洞和制造漏洞负责。
更新9:27凌晨PDT:更多的人在寻找漏洞:Netcraft指出一名澳大利亚少年发现了漏洞;另一位名为Magnus Holm(@柔道)的开发人员说,他是第一个用XSS缺陷制造出一种扩散蠕虫的人;英国出版物《卫报》上月追踪到一名日本程序员。