La red social de 'microblogging' Twitter ha experimentando problemas en su servicio. Así, los usuarios veían mensajes con colores en sus líneas temporales y, al acercar el ratón a los mismos, volvían a enviar el mensaje malicioso.
Sin embargo, el servicio funcionaba con normalidad a través de dispositivos móviles, en los que los mensajes simplemente aparecen como un código, pero no son reenviados.
La compañía ha anunciado que ya ha identificado y solucionado el problema, un ataque XSS.
Según explica la empresa de seguridad informática Sophos, el problema se debió a la explotación de una vulnerabilidad que permite que se abran las páginas de terceros en el navegador sólo con mover el ratón por la página, es decir, sin necesidad de hacer clic.
Además, esta vulnerabilidad permitía crear mensajes 'ocultos' por bloques de color, conocidos como 'tweets arco iris'.
Esta vulnerabilidad se aprovechaba al escribir un código de JavaScript ('onmouseover') dentro de una dirección URL. Al hacerlo, el usuario podía crear un mensaje 'pop-up' que aparecería cuando alguien pasaba el ratón por encima de dicho enlace.
Así, aunque al principio se utilizó esta vulnerabilidad como un "juego", según Sophos, pronto empezó a ser utilizado por spammers. De hecho, el problema ha llegado a afectar a Sarah Brown, mujer del antiguo primer ministro británico, que publicó sin quererlo un mensaje que dirigía a un sitio pornográfico japonés.
Fuente: ElMundo.es
Sin embargo, el servicio funcionaba con normalidad a través de dispositivos móviles, en los que los mensajes simplemente aparecen como un código, pero no son reenviados.
La compañía ha anunciado que ya ha identificado y solucionado el problema, un ataque XSS.
Según explica la empresa de seguridad informática Sophos, el problema se debió a la explotación de una vulnerabilidad que permite que se abran las páginas de terceros en el navegador sólo con mover el ratón por la página, es decir, sin necesidad de hacer clic.
Además, esta vulnerabilidad permitía crear mensajes 'ocultos' por bloques de color, conocidos como 'tweets arco iris'.
Esta vulnerabilidad se aprovechaba al escribir un código de JavaScript ('onmouseover') dentro de una dirección URL. Al hacerlo, el usuario podía crear un mensaje 'pop-up' que aparecería cuando alguien pasaba el ratón por encima de dicho enlace.
Así, aunque al principio se utilizó esta vulnerabilidad como un "juego", según Sophos, pronto empezó a ser utilizado por spammers. De hecho, el problema ha llegado a afectar a Sarah Brown, mujer del antiguo primer ministro británico, que publicó sin quererlo un mensaje que dirigía a un sitio pornográfico japonés.
Fuente: ElMundo.es
0 comentarios:
Publicar un comentario