A Symantec hivatalos blogjában tegnap Candid Wueest hívta fel a figyelmet a Facebookkal kapcsolatosan egy akkor még foltozatlan biztonsági résre, mely minden felhasználót veszélyeztethetett.

Az XSS- (cross-site scripting) sebezhetőséget a Facebook mobilos API-jában fedezték fel, és egy trükkel arra használható fel, hogy a vétlen látogató üzenőfalára automatikusan, a felhasználó tudta nélkül lehessen üzenetet kiíratni, illetve a láthatatlanság miatt egyetlen kattintással tovább lehet terjeszteni a fertőzést. (Egy fertőzött weboldalra elhelyezett rosszindulatú iframe-ről van szó: ha az ide látogató felhasználó be van jelentkezve a Facebookra, elindul a folyamat. A módszer részletes leírása elolvasható a problémával foglalkozó HWSW-cikkben, a jól ismert kód pedig többek között ezen az oldalon is megtalálható.)

A Symantec informálta a hibáról a Facebookot, akik ma reggelre már befoltozták a rést.