onMouseOver

問題は単純なXSSだったようだが、JavaScriptのコードがプレーンなテキストとしてツイートされるとそのツイートがユーザー側ブラウザで実行可能だったようだ。

8月に1度対応していたにもかかわらず、最近行ったアップデートで再度顕在化することになったとしている。

Twitterによると

「まず、何者かによりあるアカウントが作成され、そこで、ツイートの色を変更し、そのツイートの上にカーソルを置くとポップアップが表示されるように問題が悪用された。今回の問題が『onMouseOver』の脆弱性と呼ばれるのはこのためで、リンク上にマウスを置くと攻撃が発生する」

とのこと。

ここに他のクラッカーによるコードが追加され、オリジナルのツイートが本人の意志と関係なくリツイートされるようになったという。

今回の攻撃はTwitter.comのみでモバイル系のコンテンツには影響しなかったということと、ユーザーアカウントの情報も影響外とのことなので、まずは一安心かと。

でも、なんでこんな簡単にXSSの穴が開いちゃうかな。

アップデート対象のコードのみに注力して、根本的な最終チェックが行われてない見本だろうな。

数年前に起こった、ウイルスバスターの午前一番のアップデートで軒並み起動不可になったサーバが続出した事件があったが、手っ取り早い対処法はOSの再インストールだったというお粗末ぶり露呈のこの一件も、アップデートソフトを一切検証せずいきなり実戦配備した結果だった。

IT化が叫ばれて久しいが、世の中、スピードアップと即利益性のみが正義とされる風潮で、現実には信頼性・安全性・確実性が犠牲になっている。

表に出ている派手な部分だけが評価され、裏方で頑張っているヒト・モノ・コトが軽視される風潮は、確実に間違っているぞ。

コスト削減の名の元にこういった裏方が間引かれ続けるからこんな根本的な問題が発生するのだ。