• Thứ Hai, 31/08/2009 07:36 (GMT+7)

    Twitter vẫn chưa bịt được lỗ hổng?

    Hôm 26/8/2009, một nhà phát triển khẳng định, lỗ hổng trong dịch vụ tiểu blog Twitter vẫn chưa được sửa và có thể bị bọn tội phạm khai thác.

    Trong 1 đoạn blog, nhà phát triển phần mềm James Slater cho biết, Twitter vẫn chưa bít được lỗ hổng mà ông tiết lộ hôm 25/8/2009.

    Lỗ hổng kịch bản chéo trang (cross-site scripting) trong Twitter cho phép tin tặc chèn mã JavaScript độc vào các tweet bằng cách thêm mã vào 1 trường của API được các nhà phát triển ứng dụng Twitter thuộc bên thứ ba sử dụng. Các nhà phát triển dùng API này để nhúng liên kết vào những tweet do người dùng tạo ra (bằng phần mềm của họ) nhằm hướng người dùng Twitter tới các website của nhà phát triển. Liên kết xuất hiện ở cuối mỗi tweet, ví dụ như "37 minutes ago from Tweetie" (Tweetie là ứng dụng thuộc bên thứ ba).

    Rất nhanh sau khi ông Slater tiết lộ về lỗ hổng, Twitter cho biết là đã cách ly được lỗi. Tuy nhiên, đến hôm 26/8/2009, ông Slater cho biết là lỗi vẫn chưa được sửa. Ông Slater khuyến nghị người dùng Twitter nên cô lập những người dùng Twitter khác mà họ không chắc cho đến khi dịch vụ vụ vá xong lỗ hổng.

    Khi bình luận đoạn blog của ông Slater, một người dùng Twitter tên là Scott Bowler lại cho rằng Twitter đã vá xong lỗ hổng. Tuy nhiên chính Twitter lại không trả lời là họ đã sửa xong chưa.

    Bạch Đình Vinh
    Theo Computerworld, 26/8/2009

    ID: O0908_1