Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

TwitterにXSSの脆弱性 - ユーザーの意図に反してリツイートも

人気SNSサービス「Twitter」に一時クロスサイトスクリプティングの脆弱性があり、悪用するツイートが一時流通したことがわかった。すでに脆弱性は解消されている。

「JavaScript」を含むツイートをパソコンのブラウザ上で表示した場合、コードが実行されるおそれがあったもの。脆弱性を利用したツイートは、9月21日18時半ごろに発生し、問題のツイートにあるリンク上へマウスオーバーすると、ツイートが異なる色に変化、ポップアップ画面が表示されるものだった。さらにコードが別のユーザーにより変更され、ユーザーの意志に関係なくリツイートするコードが埋め込まれた。

同社では同日23時までにおもな原因となる不具合を修正し、翌22日未明となる1時過ぎまでに修復を終えている。今回見つかった脆弱性は、以前にアップデートで対処していたが、最近実施したアップグレードにより問題が再発したと同社は説明している。

問題のツイートは、タイムライン上に残っている可能性がある。この点について同社は悪用の範囲はいたずらや宣伝行為にとどまり、コンピュータやアカウントに危害を与えることはないとし、パスワードを変更する必要はないとアナウンスしている。

(Security NEXT - 2010/09/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「ラブライブは我々が頂いた!」 - 人気アニメ公式サイトでドメイン乗っ取りか
標的型攻撃が「Slack」や「GitHub」を悪用 - コード入手やコマンド実行の通知手段に
「Adobe Reader」に未修正の脆弱性 - 「NTLMハッシュ」窃取のおそれ
「天下一音ゲ祭」の出場者向けメールで誤送信
COP24会場でUSBメモリとPCが盗難か、PW記載した書類も - 環境省
旧政府サイトのドメインを第三者が取得 - なりすましサイトを発信
「Windows」にゼロデイ脆弱性、PoCが公開 - 8月の「ALPC脆弱性」公表と同一人物
悪用確認済みの「Windowsタスクスケジューラ」脆弱性に修正パッチ - PoC公表から約2週間
Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明
一部セキュリティ製品がJPCERT/CCサイトをブロック - 異常見られず、アクセスに問題なし