Lost in the Noise

Microblogging-dienst Twitter heeft een beveiligingslek gedicht waardoor een Cross-Site Scripting (XSS) worm zich eenvoudig onder alle gebruikers kon verspreiden. Onderzoekers die het lek vonden noemden het de “Twitter Mexicaanse griep”. Een proefversie van de worm misbruikte XSS binnen een foutpagina. Het ging niet om een specifieke, maar generieke foutpagina die door sommige Unicode karakaters in de URL wordt veroorzaakt. Volgens de onderzoekers valideert Twitter geen parameters die in URLs zitten.

De worm zorgde ervoor dat geïnfecteerde slachtoffers willekeurige Tweets plaatsten en automatisch het account van de aanvaller volgden. Het XSS probleem is sinds vorige week verholpen, maar het Unicode probleem is nog altijd aanwezig. Hieronder een demonstratie van de worm.