Mise à jour : Twitter a sorti un correctif pour la vulnérabilité XSS de son application TweetDeck.
Twitter a suspendu les services de sa propre application, TweetDeck, après l’émergence d’une sérieuse vulnérabilité de « cross-site scripting » (XSS) que des pirates ont exploité massivement.
Selon Mike Mimoso de Threatpost, le « cross-site scripting » a lieu lorsque des pirates injectent un code dans des pages Web ou dans des services en ligne qui peut ensuite être exécuté automatiquement par le navigateur de l’utilisateur. Les pirates qui réussissent ce genre d’attaques peuvent injecter le code à distance, causant ainsi des pertes des données ou des interruptions de service.
Dans le cas de TweetDeck, un pirate peut entrer dans le compte d’un utilisateur, publier et effacer des tweets ou endommager le compte. Le code d’exploit a été tweeté toute la matinée et automatiquement retweeté des dizaines de milliers de fois.
» Cette vulnérabilité transforme les tweets en lignes de code dans le navigateur, ce qui permet aux attaques de « cross-site scripting » (XSS) de s’exécuter à la simple lecture d’un tweet », a expliqué à Threatpost, Trey Ford, responsable des stratégies globales de sécurité chez Rapid7. » L’attaque en cours est un « ver informatique » qui se reproduit en créant des tweets malveillants. Il semble que les premiers affectés sont les utilisateurs du plug-in de TweetDeck sur Google Chrome. »
Si vous utilisez TweetDeck, nous vous recommandons d’ouvrir votre compte Twitter et de révoquer l’accès à TweetDeck immédiatement.
Vous trouverez ci-dessous une vidéo expliquant exactement comment révoquer les accès. La personne ayant produit cette vidéo n’avait pas installé TweetDeck, donc imaginez-vous simplement que l’application iOS 5 est TweeDeck.