Twitter afectado por vulnerabilidad

Por Iberia Marketing Team

Navegando en la red social Twitter el día de hoy notamos que las palabras claves más usadas (trending topics) son bastante inusuales, como por ejemplo:

  • XSS
  • OnMouseOver
  • MouseOver
  • Exploit
  • Security Flaw

Al hacer una búsqueda cualquiera de las palabras mencionadas anteriormente nos damos cuenta de lo que está ocurriendo. Básicamente lo que sucede es que hay un fallo en Twitter que permite insertar código JavaScript en un Tweet. ¿Y cómo funciona?

Cuando se inserta una URL en un Tweet, Twitter lo reconoce automáticamente. Entonces cuando ese Tweet aparece en el navegador lo que sucede es que la URL se ve “envuelta” por lo siguiente:

<a href=”SU_ENLACE” class=”tweet-url” rel=”nofollow” target=”_blank”>SU_ENLACE</a>

El problema está en que Twitter no limpia la URL en cuestión. En este caso, no revisa si hay comillas, lo que permite a un usuario hacer un post como:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter cree que esta es una URL correcta y la convierte en un enlace, lo cual es un problema ya que el signo de exclamación en la URL provoca que el comando “onmouseover” sea añadido al tag del enclace () como un atributo, lo cual permite que se aproveche tal vulnerabilidad para lanzar una ataque.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

El atributo “onmouseover” define un script que se ejecutará cuando el usuario mueva el cursor del ratón sobre el enlace, normalmente se tratará de un código JavaScript. Usando este bug los usuarios de Twitter pueden insertar de manera sencilla código JavaScript en sus Tweets (de momento llevamos contabilizados más de 50.000 usuarios que lo han hecho en los últimos 5 minutos). En el ejemplo que os mostramos anteriormente, vemos como resultado de esta inserción como una ventana aparecerá con la frase “Sanitize your Input!” cuando se pase el cursor sobre el enlace.

Es de esperar que otros usuarios conocedores de JavaScript hagan un uso menos benevolente de esto. Esta URL podría incluso provocar que el usuario que navegue sobre este enlace peligroso genere un Tweet tan solo pasando el cursor sobre el mismo.

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Todo esto no parece muy dañino aunque debemos esperar códigos más peligrosos en un futuro cercano.

Mientras tanto se recomiendo a los usuarios de Twitter hacer lo siguiente:

  • Utilizar aplicaciones de terceros para acceder a su cuenta de Twitter al menos hasta que el problema se resuelva.
  • Si desea utilizar su navegador instale la extension NoScript para Firefox para evitar que corra cualquier código JavaScript.

ACTUALIZACIÓN: Twitter informa que han solucionado la vulnerabilidad en los últimos minutos.

Más información en: http://blog.trendmicro.com/twitter-mouseover-flaw-allows-script-injection/#ixzz10AyjJEfq

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.