TweetDeck でクロスサイトスクリプティング (XSS) を狙った投稿が広まったようで、先ほどたまたま起きて TweetDeck 見てたら、自分の環境でもいきなり Chrome が XSS の警告を出して、気がつけば特定の投稿が勝手にリツイートされてるっていう・・・・・・
TweetDeck で閲覧している場合、該当の投稿がタイムラインに表示されるだけで自動的にリツイートがされてしまうようで、防ぐ手立てなしでした。
実際の画面、キャプチャ取り忘れたけど、Hacker News のツイートがわかりやすい。
WHATTT !! Persistent XSS (Cross-Site Scripting) Attack on Tweetdeck
cc: @twitter @safety @verified @TweetDeck | pic.twitter.com/Z8cxUolYTT
— The Hacker News (@TheHackersNews) June 11, 2014
で、Twitter からの公式な発表では、一応問題は Fix したらしいです。一度ログアウトして、再ログインしてくれとのこと。
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.
— TweetDeck (@TweetDeck) June 11, 2014
実際に投稿された内容としては、下記のようなスクリプトだけど、なんだろね、わざわざ 「XSS in Tweetdeck」 ってアラート出すようになってるあたり、親切なのかなんなのか・・・・・・
<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>
最後に絵文字のハートが付いているのがエスケープ漏れと関係してるんですかね。
とりあえず、TweetDeck をお使いの方は、再ログインと、した覚えのないリツイートがないか確認した方がよいと思います。しかし、こんなどストレートな XSS 騒ぎが今どき起こるとは・・・・・・
[2014-06-12 2:30 追記]
一時的に TweetDeck が落ちるそうです。完全に復旧するまでちょっと待ってた方がよさげ。
We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.
— TweetDeck (@TweetDeck) June 11, 2014
[2014-06-12 3:00 追記]
完全に復旧したようです。
We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.
— TweetDeck (@TweetDeck) June 11, 2014
