c.m.g
21-09-2010, 20:48
martedì 21 settembre 2010
Si consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE
UPDATE (17:00): Twitter ha comunicato (http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched) di aver individuato e corretto una falla XSS sulla piattaforma.
Roma - Che qualcosa non vada è evidente appena si accede al proprio account Twitter: bande nere o comunque scure a rendere illeggibili i tweet. E, allargando la pagina e diminuendo la dimensione dei caratteri, un'enorme scritta blu in verticale a riempire il resto della pagina. Twitter è stato attaccato: l'offensiva è stata già soprannominata onmouseover. Sconosciuti al momento gli autori dell'azione, che mette in luce qualche tipo di vulnerabilità nel codice del servizio di microblogging.
Il consiglio, per arginare l'offensiva, è non utilizzare il web ma un client (Tweetdeck, Twitterrific ecc). E in ogni caso è vivamente consigliato di non cliccare/passare il mouse su link, codici e colori presenti nei tweet. Si aprono infatti automaticamente link, tra cui siti pornografici e presumibilmente portatori di malware. Il risultato cambia a seconda del browser e del sistema operativo in uso.
Sarebbe stata sfruttata una vulnerabilità (http://www.sophos.com/blogs/gc/g/2010/09/21/twitter-onmouseover-security-flaw-widely-exploited/) che permette a messaggi pop-up e siti terzi di aprirsi all'interno del browser anche solo passandoci sopra con il cursore, e che veniva già usata dagli utenti per giochi e divertimento.
Il tutto è dilagato velocemente, e intorno alle 14 ora italiana nella maggior parte dei tweet si legge:
"http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
Una volta diffusa la notizia dell'attacco, e probabilmente grazie ai consigli e al passaparola, il numero di tweet corrotti sembra essere rapidamente diminuito.
Claudio Tamburrino
Fonte: Punto Informatico (http://punto-informatico.it/2995018/PI/News/twitter-bucato-onmouseover.aspx)
Si consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE
UPDATE (17:00): Twitter ha comunicato (http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched) di aver individuato e corretto una falla XSS sulla piattaforma.
Roma - Che qualcosa non vada è evidente appena si accede al proprio account Twitter: bande nere o comunque scure a rendere illeggibili i tweet. E, allargando la pagina e diminuendo la dimensione dei caratteri, un'enorme scritta blu in verticale a riempire il resto della pagina. Twitter è stato attaccato: l'offensiva è stata già soprannominata onmouseover. Sconosciuti al momento gli autori dell'azione, che mette in luce qualche tipo di vulnerabilità nel codice del servizio di microblogging.
Il consiglio, per arginare l'offensiva, è non utilizzare il web ma un client (Tweetdeck, Twitterrific ecc). E in ogni caso è vivamente consigliato di non cliccare/passare il mouse su link, codici e colori presenti nei tweet. Si aprono infatti automaticamente link, tra cui siti pornografici e presumibilmente portatori di malware. Il risultato cambia a seconda del browser e del sistema operativo in uso.
Sarebbe stata sfruttata una vulnerabilità (http://www.sophos.com/blogs/gc/g/2010/09/21/twitter-onmouseover-security-flaw-widely-exploited/) che permette a messaggi pop-up e siti terzi di aprirsi all'interno del browser anche solo passandoci sopra con il cursore, e che veniva già usata dagli utenti per giochi e divertimento.
Il tutto è dilagato velocemente, e intorno alle 14 ora italiana nella maggior parte dei tweet si legge:
"http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
Una volta diffusa la notizia dell'attacco, e probabilmente grazie ai consigli e al passaparola, il numero di tweet corrotti sembra essere rapidamente diminuito.
Claudio Tamburrino
Fonte: Punto Informatico (http://punto-informatico.it/2995018/PI/News/twitter-bucato-onmouseover.aspx)