Grave falla XSS in Twitter, basta passare il mouse su un link per essere colpiti (AGGIORNATO)

di Matteo Campofiorito

scritto il

AGGIORNAMENTO ore 15:57: Twitter ha comunicato attraverso il proprio account Safety di aver corretto la falla XSS.

È in corso un attacco nei confronti di Twitter basato su del codice JavaScript inserito nei tweet di ignari utenti. Basta semplicemente essere loggati a Twitter e passare con il mouse su del codice JavaScript (“onmouseover”)per effettuare migliaia di retweet ai propri follower.

Si tratta di un XSS ben congegnato che permette il propagarsi del codice JavaScript in modo virale da account ad account in modo simile a quanto avviene nei worm.

Ecco cosa fare per evitare di essere vittima del codice JavaScript:

  • Non usare la versione Web di Twitter;
  • Disattivare JavaScript nel proprio browser.

Secondo alcuni utenti la falla non dovrebbe colpire la nuova versione di Twitter ma al momento la prudenza è d’obbligo e se proprio si vuole usare il servizio di microblogging.

Per ripulire i retweet infetti dal proprio account basta accedere alla versione mobile di Twitter, fare login e provvedere alla cancellazione manuale di tutti i retweet.

Maggiori informazioni sul blog di Graham Cluley.