На сервисе микроблогов Twitter обнаружена очередная XSS-уязвимость, которая позволяет отправлять на сервис сообщения с JavaScript-кодом.
При работе с Twitter в браузере появляются всплывающие окна и открываются посторонние сайты. Воспользовавшись уязвимостью, можно размещать в Twitter ссылки на сайты, которые будут автоматически открываться при наведении курсора мыши на ссылку.
Предположительно, об уязвимости первым узнал пользователь @RainbowTwtr. Правда, он воспользовался обнаруженной «дырой» во вполне мирных целях — для того, чтобы превращать «твиты» в полоски разных цветов радуги.
Дырой в системе безопасности воспользовались злоумышленники. Так, при наведении мыши на ссылку в микроблоге жены бывшего премьер-министра Великобритании Гордона Брауна (Gordon Brown) Сары Браун (Sarah Brown) открывался японский порнографический сайт.
Рекомендуется работать с Twitter через веб-интерфейс — безопаснее будет воспользоваться программами-клиентами.