[Atl42] Todo sobre el incidente “onMouseOver”
Cassisi
sebastiancassisi en gmail.com
Mie Sep 22 17:08:05 CEST 2010
Sent to you by Cassisi via Google Reader: Todo sobre el incidente
“onMouseOver†via DosBit by Jorge Autor on 9/22/10
Ayer mismo les alertábamos de la existencia en Twitter de un grave
problema de seguridad por el que links en tweets podÃan ser ejecutados
con tan sólo pasar el cursor por encima. Pues bien, una vez analizado
el problema por los ingenieros de la red de microblogging, éstos son
los detalles técnicos.
El problema de seguridad fue originado mediante cross-site-scripting
(XSS), un tipo de inseguridad informática o agujero de seguridad basado
en la explotación de vulnerabilidades del sistema de validación de HTML
incrustado. En este caso, los usuarios mandaron código javascript como
texto plano en un Tweet que podrÃa ser ejecutado en el navegador de
otro usuario.
Primero, alguien creó una cuenta que explotaba el problema
transformando tweets a diferentes colores y causando la aparición de un
popup cuando alguien pasaba sobre el link del tweet. Esta es la razón
por la que la gente se refiere a esto como defecto onMouseOver, ya que
el exploit se ejecuta cuando alguien pasa el ratón sobre un link.
Otros usuarios fueron un paso más allá al añadir código que hacÃa que
la gente retwiteara el tweet original sin saberlo…
El exploit no tuvo repercusión ni el la web móvil ni en las
aplicaciones para los mismos, asà que todo ha quedado en meras
molestias. Los usuarios todavÃa pueden ver retweets extraños en sus
lÃneas de tiempo causados por el problema. No hay necesidad de cambiar
las contraseñas de cuentas de usuario, ya que la información no se vio
comprometida a través de este exploit.
VÃa: Twitter Blog
Things you can do from here:
- Subscribe to DosBit using Google Reader
- Get started using Google Reader to easily keep up with all your
favorite sites
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ourproject.org/pipermail/atl42-public/attachments/20100922/5edb81c0/attachment-0001.htm
Más información sobre la lista de distribución Atl42-public