Malheur aux utilisateurs de Twitter qui sur le site Web du service de microblogging baladent le pointeur de leur souris. Survoler un étrange message noir, par exemple, peut en effet provoquer une réaction en chaîne avec la publication de ce même message sur son compte et de possibles autres désagréments.

Derrière ces messages se cache en réalité du code JavaScript avec la fonction onMouseOver qui est interprétée. Une vulnérabilité XSS ( Cross Site Scripting ) sur le site Twittter.com est ainsi exploitée  pour aider à la propagation de plusieurs vers. Diverses formes d'attaques peuvent apparaître, d'autant que certains utilisateurs ont trouvé un aspect ludique à l'exploitation de la faille.

En attendant que la faille soit comblée, ceux que cela n'amusent pas peuvent toujours désactiver JavaScript dans leur navigateur, utiliser un client tiers pour accéder à Twitter plutôt que via Twitter.com. Récemment, Twitter a annoncé le déploiement d'une nouvelle version de Twitter.com qui emprunte quelques bonnes idées à des clients tiers... ironie du sort, ces clients peuvent venir au secours des accrocs à Twitter.

F-Secure ou encore Sophos ( vidéo ci-dessous ) ont confirmé l'exploitation d'une faille XSS par le biais de laquelle il est aussi possible de faire la promotion de liens malveillants.

MàJ : l'attaque XSS a été identifiée par Twitter et un correctif a été déployé.