アップデート:Tweetdeck は今朝(米国時間6/11)、ハッカーの攻撃に対処してセキュリティー上の修正を行うため一時サービスを停止したが、現在は復帰している。
当初の記事:
パワーユーザーに人気があるTwitterの公式クライアント、TweetDeckが今朝ハッカーに攻撃を受けたXSS(クロスサイトスクリプティング)脆弱性を修正したと発表した。Tweetdeckはこのパッチを有効にするためにいったんログアウトしてからログインするようユーザーに求めている。
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.—
(@TweetDeck) June 11, 2014
クロスサイトスクリプティングというのはブラウザを騙して外部のコードを実行させるハッキングの手口で、脆弱性が残っている間はユーザーはTweetDeckのウェブアプリ(あるいはChromeの拡張機能)を停止するしかない。パワーユーザーにとって大いに苛立たしい話だ。
@kylebrussell ugh I dont want to use Twitter.com OR get hacked on tweetdeck ugh—
Sam Colt (@scranecolt) June 11, 2014
うへー、Twitter.comなんか使いたくないよ。しかしtweetdeckを使うとハックされるのか。うへー。
XSSS脆弱性は、たいていの場合、この記事のトップのスクリーンショットのように、無関係なポップアップを開かせるのに使われる。しかし脆弱性を長時間放置しておくとハッカーがユーザーのアカウントを乗っ取ることも可能になる。今回のTweetDeckへの攻撃ではアカウントが乗っ取られた形跡はないということだ。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)
