21日(米国時間)、SophosはTwitterのウェブインターフェースを悪用した潜在的な危険性を持つ新たなハックが発生したと警告した。
影響を受けるのはtwitter.comのみで、携帯サイトやサードパーティー製クライアントは影響を受けないという。
これはツィートのURL内にJavaScriptコードを挿入することで、ユーザがリンクの上にカーソルを移動させた場合にポップアップメッセージを表示させるように出来るもので、「自動リツィート」するように改造されたものや、アダルトサイトに誘導するものなど、いくつかの変形も登場したようだ。このようなものは一般にXSS(cross-site-scripting)攻撃と呼ばれ、複雑なものではないが、コード内容によっては大きな影響を及ぼす可能性も秘めている。
Twitterは、同日中にパッチを当てて対応、問題は解決したが、同社によると、この問題は8月に認識および対応されていたが、最近のアップデートにより再度表面化してしまったという。
少しの油断も出来ないのがネットの世界、ということを如実に示す出来事ともいえます。今回は致命的なコードが出回る前に対処されたため事なきを得ましたが・・・