A publicamente visível "documentation of the August 24th code change" no código open source do twitter-text-rb chegou a incluir um link de demonstração que se parece muito com aquele que esteve em circulação na terça-feira (21). O problema era o seguinte: uma URL criada como http://x.xx/ @ poderia confundir o analisador, permitindo que o JavaScript pudesse ser injetado, armazenado com o tweet, e incluído no navegador do usuário, afetando o site do Twitter. Um evento, como um mouseover (onmouseover), poderia então ser utilizado para ativar o código.
De acordo com o Twitter, o problema foi realmente sanado no mês passado, mas uma recente atualização do site "desconhecia" que a falha havia ressurgido. Quando os primeiros tweets demo entraram em circulação na terça-feira, parecia que o código de script poderia perfeitamente voltar a ser injetado. Menos de uma hora após as primeiras demos inofensivo exibindo mensagens de JavaScript, surgiram variações que propagaram-se como retweets. Logo após essa avalanche, o Twitter restabeleceu os métodos de correção para o ocorrido, o que tudo indica não haver nenhum tipo risco até o momento.
Os responsáveis pelo Twitter não explicaram, no entanto, como tal falha de segurança grave que já havia sido corrigida, poderia voltar a ocorrer, e também não esclareceram como eles planejam evitar que isso aconteça novamente.
Saiba Mais:
[1] Github: http://github.com/mzsanford/twitter-...383e5a66b1558f