• Twitter:Falha XSS

    Durante o mês de agosto, o desenvolvedor Ben Cherry mudou o código de uma biblioteca do Twitter com o comentário "closed XSS after the @". Neste último dia 21 de setembro, reapareceu esta vulnerabilidade nos servidores do Twitter e houve uma avalanche de tweets explorando essa falha de segurança. Os usuários que utilizavam programas como o Tweetdeck, Twhirl e o serviço de micro-blogging pelo iPhone, por exemplo, não foram afetados pelo problema.

    A publicamente visível "documentation of the August 24th code change" no código open source do twitter-text-rb chegou a incluir um link de demonstração que se parece muito com aquele que esteve em circulação na terça-feira (21). O problema era o seguinte: uma URL criada como http://x.xx/ @ poderia confundir o analisador, permitindo que o JavaScript pudesse ser injetado, armazenado com o tweet, e incluído no navegador do usuário, afetando o site do Twitter. Um evento, como um mouseover (onmouseover), poderia então ser utilizado para ativar o código.



    De acordo com o Twitter, o problema foi realmente sanado no mês passado, mas uma recente atualização do site "desconhecia" que a falha havia ressurgido. Quando os primeiros tweets demo entraram em circulação na terça-feira, parecia que o código de script poderia perfeitamente voltar a ser injetado. Menos de uma hora após as primeiras demos inofensivo exibindo mensagens de JavaScript, surgiram variações que propagaram-se como retweets. Logo após essa avalanche, o Twitter restabeleceu os métodos de correção para o ocorrido, o que tudo indica não haver nenhum tipo risco até o momento.

    Os responsáveis pelo Twitter não explicaram, no entanto, como tal falha de segurança grave que já havia sido corrigida, poderia voltar a ocorrer, e também não esclareceram como eles planejam evitar que isso aconteça novamente.


    Saiba Mais:

    [1] Github: http://github.com/mzsanford/twitter-...383e5a66b1558f

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L