いくつかの関連したXSSワームが、現在「Twitter.com」で広がっている。
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_4_.png)
現在までにXSS脆弱性が発見され、我々はただちに、異なる人々により作成されたいくつかのワームを確認した。
大部分のワームは、onmouseover技術を使用しているため、マウスを悪意あるツイート上に動かすだけで、悪意あるメッセージをそのユーザのフォロワーに送信することになる。
Magnus Holm氏のTwitterフィードのスクリーンショット(下から上へ読むこと):
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_2.png)
Twitterのセキュリティチームは、この抜け穴を閉じようと急遽作業中だが、我々はこの問題は継続するのではないかと考えている。おそらくはこの技術をブラウザエクスプロイトと組み合わせるといった、より悪意ある攻撃が現れることはまったくあり得ることだ。
当面、以下のいずれかを推奨する:
• Twitterをログアウトする
• 「twitter.com」を使用するのではなく、Twitterにアクセスするためのクライアントプログラムを使用する
• JavaScriptをオフにする
Twitterの「Trending Topics」は、同ワームに関連するおしゃべりで一杯だった:
![twitter](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_3.png)
このXSS脆弱性に対してなし得るもう一つの例は:
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_1.png)
追記:TwitterがこのXSS脆弱性をフィックスした。もはや同脆弱性が悪用されることはない。
では。
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_4_.png)
現在までにXSS脆弱性が発見され、我々はただちに、異なる人々により作成されたいくつかのワームを確認した。
大部分のワームは、onmouseover技術を使用しているため、マウスを悪意あるツイート上に動かすだけで、悪意あるメッセージをそのユーザのフォロワーに送信することになる。
Magnus Holm氏のTwitterフィードのスクリーンショット(下から上へ読むこと):
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_2.png)
Twitterのセキュリティチームは、この抜け穴を閉じようと急遽作業中だが、我々はこの問題は継続するのではないかと考えている。おそらくはこの技術をブラウザエクスプロイトと組み合わせるといった、より悪意ある攻撃が現れることはまったくあり得ることだ。
当面、以下のいずれかを推奨する:
• Twitterをログアウトする
• 「twitter.com」を使用するのではなく、Twitterにアクセスするためのクライアントプログラムを使用する
• JavaScriptをオフにする
Twitterの「Trending Topics」は、同ワームに関連するおしゃべりで一杯だった:
![twitter](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_3.png)
このXSS脆弱性に対してなし得るもう一つの例は:
![Twitter worm](http://www.f-secure.com/weblog/archives/tw_worm_sep_2010_1.png)
追記:TwitterがこのXSS脆弱性をフィックスした。もはや同脆弱性が悪用されることはない。
では。