Gros plantages en cours sur Twitter, l'explication de la faille XSS

A better Twitter 80
Marc Rees
Twitter et sa communauté d'utilisateurs sont actuellement victimes de gros plantages dans la gestion des messages. Sur le blog officiel de Twitter, aucune explication. Le dernier message date du 14 et est intitulé "A Better Twitter".

Selon certains utilisateurs, c'est un ver qui serait à l'origine de ces bugs. Les messages porteurs seraient représentés avec des blocs noirs, au lieu du texte habituel. Des messages toutefois accessibles via TweetDeck, une solution indépendante à Twitter qui indique en clair le contenu des messages "noirs". Derrière se cache ce script : 

http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/ 
 
... au lieu et place du message de 140 caractères tapotés par l'utilisateur. Ce code Javascript permet de répliquer un code couleur noir au seul passage de la souris lorsqu'on utilise Twitter en version Web. D'autres morceaux de codes redirige l'utilisateur vers des sites pornographiques.

Voilà ce qu'on peut constater comme bug sur la page de notre compte : 

twitter panne plantage 
twitter panne plantage 

Selon des lecteurs de PC INpact, le système tient dans l'exploitation d'une faille de type XSS : "En gros on poste un lien qui rajoute un événement onmouseover sur le statut et permet d'exécuter du code javascript comme un simple alert ou modifier un bout de la page ou, comme ici, remplir le formulaire avec le tweet survolé en ajoutant RT @Pseudo devant pour le faire retwitter. " nous explique Djorak 

Antwan ajoute pour sa part : "Les guillemets ne sont pas échappés, on peut mettre ce qu'on veut en mouseover. Ca reposte ce propre tweet pour le diffuser un maximum, mais rien d'autre". Certains utilisent cependant "un script externe et une police de taille 99999px pour un maximum d'effets".

Remarque de  @Paul_Da_Silva : "Quand je pense que twitter a fait énormément de tort aux dev tiers avec le lancement d'apps officielles et qu'ils sont les seuls touchés...

Une solution temporaire 

On pourra supprimer les messages "infestés" via une application tierce comme Tweetdeck, ou via m.twitter.com, la version mobile officielle de Twitter, qui ne semble pas concernée.