Existe uma nova vulnerabilidade  ao XSS (cross-site scripting)  no Facebook, e  está sendo amplamente utilizado para automaticamente enviar mensagens nos murais dos outros usuários. A vulnerabilidade foi utilizada durante algum tempo, em alguns casos menores, no entanto, agora sendo amplamente utilizada pela primeira vez por muitos grupos diferentes, especialmente na Indonésia, onde é possível ver  milhares de mensagens infectadas sendo postadas por usuários desconhecidos.

A vulnerabilidade existe na versão móvel API do Facebook, devido à insuficiência filtragem JavaScript. Ela permite a qualquer site  incluir, por exemplo, um elemento iframe maliciosamente preparados que contém o JavaScript ou use o atributo http-equiv de valor “refresh” para redirecionar o browser para a URL contendo a JavaScript.

Qualquer usuário que estiver logado no Facebook e visitar a um site que contenha esse elemento ira automaticamente postar uma mensagem arbitrária em seu mural. Não é necessária  nenhuma interação do usuário, e não há truques envolvidos, como clickjacking. Basta visitar um site infectado para enviar uma mensagem de que o atacante escolheu.

Assim, deveria ser nenhuma surpresa que algumas dessas mensagens estão se espalhando muito rapidamente através do Facebook. Alguns estão postando links para sites infectados, criando XSS worms que se espalham de usuário para usuário.

Infelizmente, este tipo de  ataque é muito fácil de recriar, o que torna o problema ainda maior.

O Facebook informou que esta trabalhando para corrigir esta falha, mas até o momento desta postagem não havia sido corrigida.

Você pode evitar este ataque com medidas simples, como usar o add-on Noscript para o navegador Firefox, este add-on detecta o ataque, e o bloqueia evitando assim que você seja infectado.