TweetDeck に XSS の脆弱性。意図せぬリツイートが実行される

Twitter の公式クライアントでもある TweetDeck でクロスサイトスクリプティング (XSS) を狙った投稿が広まったようで、自分も喰らいました。タイムラインに該当ツイートが表示されるだけで、自動的にその投稿をリツイートさせられるものでした。

TweetDeckTweetDeck でクロスサイトスクリプティング (XSS) を狙った投稿が広まったようで、先ほどたまたま起きて TweetDeck 見てたら、自分の環境でもいきなり Chrome が XSS の警告を出して、気がつけば特定の投稿が勝手にリツイートされてるっていう・・・・・・

TweetDeck で閲覧している場合、該当の投稿がタイムラインに表示されるだけで自動的にリツイートがされてしまうようで、防ぐ手立てなしでした。

実際の画面、キャプチャ取り忘れたけど、Hacker News のツイートがわかりやすい。

で、Twitter からの公式な発表では、一応問題は Fix したらしいです。一度ログアウトして、再ログインしてくれとのこと。

実際に投稿された内容としては、下記のようなスクリプトだけど、なんだろね、わざわざ 「XSS in Tweetdeck」 ってアラート出すようになってるあたり、親切なのかなんなのか・・・・・・

<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>

XSS in Tweetdeck

最後に絵文字のハートが付いているのがエスケープ漏れと関係してるんですかね。

とりあえず、TweetDeck をお使いの方は、再ログインと、した覚えのないリツイートがないか確認した方がよいと思います。しかし、こんなどストレートな XSS 騒ぎが今どき起こるとは・・・・・・

[2014-06-12 2:30 追記]
一時的に TweetDeck が落ちるそうです。完全に復旧するまでちょっと待ってた方がよさげ。

[2014-06-12 3:00 追記]
完全に復旧したようです。

記事をここまで御覧頂きありがとうございます。
この記事が気に入ったらサポートしてみませんか?