Vulnerabilidad XSS en vivo desde Twitter

Es uno de esos días en los que tuve uno de esos momentos de decepción cuando entré a mi cuenta de Twitter y de pronto apareció un mensaje con mi cookie.

Al parecer hay una vulnerabilidad XSS en Twitter que los cibercriminales ya han comenzado a explotar. Mis análisis preliminares indican que hay que pasar sobre un enlace para activarla, y por ahora sólo he visto pruebas de concepto en las cuentas de gente a la que sigo. Pero es posible que pronto comiencen a utilizarla para propagar gusanos, así que te aconsejo que desactives JavaScript en Twitter hasta que se solucione el problema.

Actualización (14:05 CEST): Se confirmó que esta vulnerabilidad se puede explotar de forma automática, sin la interacción del usuario. ¡Desactiva JavaScript en Twitter!

Actualización 2 (14:13 CEST): Es posible cargar JavaScript secundario desde un URL externo sin interacción del usuario, lo que hace que la vulnerabilidad sea peligrosa y capaz de propagar gusanos.

Actualización 3 (14:24 CEST): El código del gusano para esta vulnerabilidad se ha publicado en IRC.

Actualización 4 (14:36 CEST): El gusano ha cobrado vida…

Actualización 4 (14:36 CEST): El gusano ha cobrado vida…

Actualización sobre los índices de infección (publicados por Costin): Durante el punto cúspide de la infección, notamos que cada segundo se publicaban alrededor de 100 mensajes relacionados con el exploit. Gracias a Paul Roberts que nos mostró una forma simple de analizar la expansión de la amenaza usando Twiscoop:

El gráfico muestra 93 entradas por segundo, una cifra similar a la que observamos en el momento cúspide.

Aunque es difícil calcular cifras exactas con los datos existentes, es posible que en total se hayan publicado más de medio millón de mensajes maliciosos.