Les chercheurs BitDefender mettent en garde les utilisateurs contre une nouvelle faille critique touchant la plate-forme de microblogging Twitter.
Le bug de type zero-day permet aux utilisateurs de Twitter d’inclure du Javascript dans leurs tweets.
Ce cas particulier repose sur le manque de désinfection des tweets postés par les utilisateurs, ce qui offre à un attaquant potentiel la possibilité de transformer un lien hypertexte normal en action Javascript OnMouse.
Ce type de procédé ne nécessite pas que l’utilisateur clique sur le lien tweeté. Le mécanisme se déclenche lorsque l'utilisateur passe le curseur de sa souris sur le lien spécialement conçu.
A moment où cet article a été rédigé, Twitter était déjà inondée par plus de 2.000 messages contenant la faille, allant d’ « innocentes » alertes JavaScript jusqu’à des attaques XSS sophistiquées essayant de dérober les cookies des navigateurs des victimes.
Twitter a supprimé la plupart des tweets contenant la vulnérabilité, mais ils sont toujours en cache dans les moteurs de recherche.
Bien que Twitter ait pris en compte et corrigé le bug, la vague malveillante ne s’est pas arrêtée là. Un tweet incitait les membres à retweeter un message promettant un soi-disant guide permettant de se débarasser de la vulnérabilité "zero-day ».
Le tweet original qui a été retweeté par certaines victimes semble être celui-là :
Toutefois, les utilisateurs qui ont cliqué sur le lien ont été redirigés vers un site Web leur demandant de participer à des sondages pour avoir accès au fameux « guide ».