') ?> S.A Studio blog: Twitterに重大なXSS(クロスサイトスクリプティング)脆弱性が発覚

« [本日の通常更新はお休みします] | メイン | ニュースと話題@20101026 »

Twitterに重大なXSS(クロスサイトスクリプティング)脆弱性が発覚

[2010/09/21 23:02JST] 大本営から公式発表。パッチが適用されましたので、反映され次第脆弱性は発生しませんとのこと。Twitterのステータス - XSSアタックについて認識し、パッチによる修復作業を行いました。

情報が錯綜しまくっていて半端ないことになっておりますが、とりあえず自分のタイムラインから見える情報のみを使ってまとめてみました。

  • 現時点で発覚している攻撃は"特定の文字列に続いてURI、攻撃コード"が含まれている形式の発言によるものです。
  • 18時時点でCSSインジェクション、19時ごろにはJavaScriptによる攻撃が発生しています。
  • 影響範囲はTwitterをWebで直接利用する場合と、今回のexploitコードを解釈してしまう一部のクライアント(筆者はtweetzというWindowsガジェットでCSSインジェクションが成立しているのを確認しました)で、当該のUserAgentが保持しているものでJavaScriptからアクセス可能なすべてが攻撃スクリプトによって読み書きされる可能性があります。
  • 対策:Twitter.comにアクセスしない UserAgentがJavaScriptを解釈しないようにする

UserAgent = いわゆる"Webブラウザ"

JavaScript = ECMAScriptおよび互換のスクリプト

ツッコミはtwitterで@seakiまでreplyくださいな(それ以外に速達的手段がないのも問題だよね)。コメント欄は反映まで最大1日かかっちゃうので……。

[2010/09/21 22:30JST] CSSインジェクションは対処されたっぽい。また特定の文字列を含むpostをするとWebでは"Something is technically wrong."を出すことができる。

[2010/09/21 22:44JST] 2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 筆者の調査では危険なスクリプトは埋め込まれていないことが確認されましたが、念のため動作に注意してください。


信用できないなら回線切って今すぐ吊りましょう。

ニュースサイト休止のいいわけ(以下読まなくてもいい駄文)

ひとことで言おう。実況民やりすぎてサイト巡回する気力がなくなった。フィードとか1か月くらい巡回してない。たぶん今日状態初期化して明日から再開すると思う。でもまた突発的になにか起きたら記事起こすほうがアクセス稼げそうな悪寒。

なかのひと
IE6ユーザーは「アナログ人間」