10周年のSPコンテンツ!

Twitterの脆弱性で起きた騒動と対処法のまとめ

※この問題は9/21の23時頃(騒動発生の7時間後)に、  Twitter運営側が修正対応を完了したため、  すでに解決済みです。  現在は、リンクをクリックしても問題ありません。 続きを読む
Twitter セキュリティホール
50
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes
twitterの140文字の投稿文の中で、JavascriptやCSSが使えるセキュリティホールが見つかったみたいですね。背景色を変えて遊ぶぐらいならいいけど、危険なものも作れそうなので、対応が済むまでは怪しいツイートには近寄らない方がいいかも。
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes
怪しいツイートに近寄らないと言っても、フォロワーからのRTなどで勝手にタイムラインに飛び込んでくるので、一番の対策はPCやiPhoneのWebブラウザからはTwitterを見ないこと。これを機に、クライアントアプリを導入してみると吉かも。
かおりん@ @kaorin_linux
こんな事例もあるらしい。w RT @ishiduca: @kaorin_linux ブラウザで http://bit.ly/9AFmUA へ行くと「こんにちはこんにちは」って勝手につぶやかれるXSSに引っかかるとかなんとか
Hamachiya Hamachie @Hamachiya
こんにちはこんにちは!!
ひめ🌸 @Milly
あーーー、凶悪になってる。class="modal-overlay" を付与することでTwitter web画面全体にリンクがオーバーレイするようになって、画面のどこにカーソルあてても発動するようになってる。リンクタグだけ注意とかのレベルじゃない。RTダメ、絶対!
ひめ🌸 @Milly
Twitter の web 画面を利用する場合 javascript を切りましょう。できればクライアントソフトを使いましょう。
たかな@スマホに変更したら色々本気出す @talshine
【重要速報】公式モバイル版も同様にXSS脆弱性が発見された模様
TweetMe for iPhone @TweetMe_dev
【セキュリティ情報】ついったーのWebにXSS脆弱性が発見されました。Webでの表示は控えた方が良さそうです。ついったーのモバイルも同様です。マウスカーソルを当てただけで勝手にツイートされたり、表示が崩れる被害が出ております。
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes
これは2週間前の記事。9/8時点でTwitter側は修正対応した、って言ってたけど、まだ穴があったんだね。 RT @cot_ce: TwitterのXSS脆弱性突いてCookieを盗む攻撃、Kasperskyが報告 http://bit.ly/cQUEdF
Masato Kinugawa @kinugawamasato
もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
Masato Kinugawa @kinugawamasato
そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
Masato Kinugawa @kinugawamasato
クリティカルな問題でありながら報告後長らく修正されなかったこと、さらにツイッター側が自ら脆弱性を公開したままにしており問題意識があまりにも低いことなどを考慮して、背後で巧妙に悪用されるよりは早急に問題の重大さを認識させ対策させた方がいいだろうという判断で虹を架けさせて頂きました
このツイートは権利者によって削除されています。
Twitter Japan @TwitterJP
ステータスブログを更新しました。「XSSアタックについて認識し、パッチによる修復作業を行いました」http://t.co/RuHGhp4
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes
公式から、修正対応済みとの報告あり。XSS脆弱性を強硬にアピールするRainbow Twitterの開設から、悪意の第三者による自動RTスクリプトの蔓延を経て、約7時間で一旦は収拾がついたようです。まとめ→ http://htn.to/Dx11C3

コメント

岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes 2010年9月21日
全画面のどこにポインタがあっても自動的にRTされてしまうような、新バージョンのスクリプトが出て来たという情報を追加。ちなみに勘違いしてる人がいますが、今回の騒動はウイルスではないです。
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes 2010年9月21日
今回の騒動について核心を突いたコメントがあったので、まとめの最後に引用させていただきました。全く同意見です。
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes 2010年9月21日
修復作業完了とのこと。全サーバーへの反映までにはもう少し時間がかかりそうですが、予想以上に素早い対応でした。なかのひと、お疲れ様です!
藤堂考山 @ko_zan 2010年9月21日
こんな事になってたのか・・・怖すぎるw
こきお @shirocub 2010年9月21日
そういうことか。フォロワーのRT内に画面暗くしたり、勝手にRTしたりするスクリプトが入ってたってことか。RT @shields_pikes: 怪しいツイートに近寄らないと言っても、フォロワーからのRTなどで勝手にタイムラインに飛び込んでくるので、一番の対策はPCやiPhoneのWebブラウザからはTwitterを見ないこと。これを機に、クライアントアプリを導入してみると吉かも。
うてん。 @uten00 2010年9月21日
あー、やってることはアホらしいくらい単純な埋め込みなんだな。新twitterなんか後まわしでいいから運営は現状システムを安定させてくれ。あとJavaScriptなしでWEB表示できるようにして。
岡安モフモフ(アーガイル社長)@ゲーム・ボドゲ・食べ歩き好き @shields_pikes 2010年9月22日
事態は終結へ。 大きな動きが無い限り、これでこのまとめページは更新完了とします。
あぴゃ @tubapr 2010年9月22日
超凶悪ですね。もう直ってるってことはリンク踏んでもOKかしら?
ぼんぼ (荒魂5%) @tm_bonvo 2010年9月22日
巨大文字で表示されるパターンもありましたね。オーバーレイ同様、ブラウザの表示の大部分を占めるので、マウスカーソルがどこにあっても引っかかるっていう。
みかん(ボット鯖管理者) @na_sisuka770 2010年9月22日
誰か一人が「ウイルスかも!」って言うと、知らない人は、「ウイルスだ-!!!」って広げて行っちゃいますからね…でもまあ、ウイルスチェックは大切。
山上 龍也(見習い) @Yamagami_Tatuya 2010年9月22日
う~ん、Hamachiyaさん、スクリプトいじって、こんなことするのか、なんか恐いな・・・。
ログインして広告を非表示にする
ログインして広告を非表示にする