Форум VolSat - Показать сообщение отдельно

Tuflya07 · 21.09.2010, 18:22

Источник: РИА Новости
Эпидемия вредоносных постов поразила Twitter

Сервис микроблогов Twitter оказался подвержен во вторник новой XSS-уязвимости, приводящей к различным отклонениям в поведении веб-интерфейса. Специалисты в области безопасности рекомендуют воздержаться от использования веб-интерфейса до устранения угрозы.

По одной из версий, источником атаки стал пользователь RainbowTwtr, опубликовавший специально сформированный текст поста. Эксплойт состоит из ссылки на профиль пользователя (например, http://twitter.com/#!/username, где username - имя учетной записи пользователя), символов "#@", после которых можно разместить произвольный код. RainbowTwtr размещал специальный набор тегов, который раскрашивал запись полностью в тот или иной цвет (семь опубликованных записей со всеми цветами радуги по всей видимости и обусловил имя блога). Подобные уязвимости относятся к классу XSS-инъекций.

Однако после символов #@ можно разместить не только цветные картинки. В частности, разместив код JavaScript, который реагирует на наведение мыши (onmouseover), можно получить "ловушку" для пользователя. Наведя мышь на непонятную запись (цветная полоса, странные символы и т.п.), пользователь невольно активирует вредоносный сценарий, отправляющий его, например, на порносайт.

Никаких официальных комментариев от администрации ресурса пока не поступало. До устранения уязвимости не рекомендуется использовать веб-интерфейс Twitter, применяя не подверженные уязвимости сторонние клиенты (TweetDeck, Seesmic и др.) Также по неподтвержденной информации, данной уязвимости не подвержен новый интерфейс сервиса, который, однако, доступен пока лишь некоторым пользователям.

Как сообщил РИА Новости Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET, это далеко не первая массовая атака сервиса Twitter, основанная на различного рода XSS-уязвимостях.

"Уязвимость, которая была обнаружена сегодня, позволяет при просмотре сообщений от других пользователей осуществлять их непроизвольный ретвит. Плюс при определённых обстоятельствах уязвимость позволяет выполнить произвольный JavaScript-код. В итоге, атака может закончиться для пользователя установкой вредоносного ПО на компьютер, что может повлечь за собой и потерю Twitter-аккаунта", - говорит Матросов.

Подпись: Илья Илембитов

21.09.2010, 18:22	#1874
Tuflya07 Гуру Регистрация: 07.10.2007 Ресивер: Openbox X-800 Сообщений: 10,465 Сказал(а) спасибо: 2,818 Поблагодарили 5,637 раз(а) в 4,437 сообщениях Вес репутации: 48	Источник: РИА Новости Эпидемия вредоносных постов поразила Twitter Сервис микроблогов Twitter оказался подвержен во вторник новой XSS-уязвимости, приводящей к различным отклонениям в поведении веб-интерфейса. Специалисты в области безопасности рекомендуют воздержаться от использования веб-интерфейса до устранения угрозы. По одной из версий, источником атаки стал пользователь RainbowTwtr, опубликовавший специально сформированный текст поста. Эксплойт состоит из ссылки на профиль пользователя (например, http://twitter.com/#!/username, где username - имя учетной записи пользователя), символов "#@", после которых можно разместить произвольный код. RainbowTwtr размещал специальный набор тегов, который раскрашивал запись полностью в тот или иной цвет (семь опубликованных записей со всеми цветами радуги по всей видимости и обусловил имя блога). Подобные уязвимости относятся к классу XSS-инъекций. Однако после символов #@ можно разместить не только цветные картинки. В частности, разместив код JavaScript, который реагирует на наведение мыши (onmouseover), можно получить "ловушку" для пользователя. Наведя мышь на непонятную запись (цветная полоса, странные символы и т.п.), пользователь невольно активирует вредоносный сценарий, отправляющий его, например, на порносайт. Никаких официальных комментариев от администрации ресурса пока не поступало. До устранения уязвимости не рекомендуется использовать веб-интерфейс Twitter, применяя не подверженные уязвимости сторонние клиенты (TweetDeck, Seesmic и др.) Также по неподтвержденной информации, данной уязвимости не подвержен новый интерфейс сервиса, который, однако, доступен пока лишь некоторым пользователям. Как сообщил РИА Новости Александр Матросов, руководитель Центра вирусных исследований и аналитики компании ESET, это далеко не первая массовая атака сервиса Twitter, основанная на различного рода XSS-уязвимостях. "Уязвимость, которая была обнаружена сегодня, позволяет при просмотре сообщений от других пользователей осуществлять их непроизвольный ретвит. Плюс при определённых обстоятельствах уязвимость позволяет выполнить произвольный JavaScript-код. В итоге, атака может закончиться для пользователя установкой вредоносного ПО на компьютер, что может повлечь за собой и потерю Twitter-аккаунта", - говорит Матросов. Подпись: Илья Илембитов __________________