Twitter arregla vulnerabilidad en su sitio web

El día de hoy se reportó una vulnerabilidad potencialmente peligrosa en el sitio de Twitter la cual podía ser explotada a través de una URL.

http://twitter.com/[yoururl]#@"style="background-color:white;color:white"onmouseover="alert(insert script here)"/

Ésta URL explotaba la capacidad de pasar secuencias de comandos al pasar el cursor del mouse por un enlace en un tweet gracias a una función en JavaScript llamada “OnMouseOver“. Ésta vulnerabilidad se debe a los hipervínculos de los nombres de usuario de Twitter al pasar el script después de la @.

Miles de cuentas en Twitter publicaron mensajes explotando la vulnerabilidad. La mayoría de los usuarios en Twitter la utilizaron por diversión y juegos, ésto de acuerdo con una publicación de Graham Cluley donde se describía a profundidad el funcionamiento de la vulnerabilidad.

Twitter ha confirmado que ha arreglado la vulnerabilidad horas después de que fuera reportada. De acuerdo a una publicación en el blog de la compañía, Twitter “había identificado y se encontraban parchando el ataque XSS“. Dicha publicación fue después actualizada para confirmar que la vulnerabilidad había sido parchada exitosamente.

Mientras se trabajaba para parchar la vulnerabilidad, se le recomendó a los usuarios realizar tweets a través de aplicaciones terceras, ya que la vulnerabilidad sólo afectaba a aquellas personas que realizaran tweets a través de la web. Aparentemente quienes hacían tweets directamente desde la página móvil de Twitter tampoco se vieron afectados.

Ésta no sería la primera vez que se reporta la existencia de una vulnerabilidad en el sitio de Twitter. El pasado mes de Mayo se había identificado una manera de forzar a otros usuarios a seguirlos con un simple comando enviado en un tweet, y el cual fue arreglado inmediatamente.