Abo
  • Services:
Anzeige
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck.
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck. (Bild: Firo XI/Screenshot: Golem.de)

Security: Ein Herz legt Tweetdeck lahm

Über eine XSS-Lücke in Tweetdeck wurden Tausende Twitter-Nachrichten innerhalb weniger Stunden automatisch weitergeleitet. Ein Fehler in der Verarbeitung des Unicode-Zeichens für das Herzsymbol sorgte für automatische Retweets.

Anzeige

Erneut hat eine Cross-Site-Scripting-Lücke in Twitters webbasierter Anwendung Tweetdeck dazu geführt, dass sich Tweets tausendfach selbst über den Kurznachrichtendienst im Netz verbreiteten. Ein 19-jähriger Österreicher hatte die Lücke zufällig entdeckt und sofort gemeldet. Andere nutzten die Lücke, um Tweets mit Javascript zu verbreiten, die dafür sorgte, dass sie sich automatisch selbst retweeteten. Twitter hat die Lücke inzwischen geschlossen.

  • Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)
Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)

Normalerweise werden weder HTML-Tags noch Javascript in Tweets verarbeitet, sondern diese als Text angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für ein Herz aus, als er merkte, dass dabei HTML-Tags verarbeitet wurden. Ein anschließender Test mit Javascript funktionierte ebenfalls. Er konnte in Tweetdeck ein Dialogfenster damit öffnen.

Inzwischen hatten weitere Nutzer Firos Tweets bemerkt und die gefundene Lücke verbreitete sich weiter über Twitter. Firo hatte die Lücke ordnungsgemäß an @Tweetdeck gemeldet. Wenig später informierte Twitter selbst über die Sicherheitslücke und deaktivierte den Tweetdeck-Dienst vorübergehend. Die Lücke wurde umgehend geschlossen. Inzwischen hatten andere präparierte Tweets zusammengestellt, darunter @derGeruhn. Sein Tweet retweetete sich per Javascript automatisch selbst und zeigte eine Warnung an, Tweetdeck sei unsicher - über 82.000-mal. Darunter waren auch zahlreiche Twitter-Konten mit mehreren Millionen Followern.

Bislang gibt es keine Meldungen darüber, dass die Lücke böswillig ausgenutzt worden sei. Da die Lücke aber den sichtbaren Code automatisch ausführt, könnte er dazu genutzt worden sein, die Session-ID eines Nutzers zu stehlen und sein Konto vorübergehend zu kapern. Nutzern wird geraten, sich von Tweetdeck ab- und wieder anzumelden, damit die Reparaturen übernommen werden. Eine ähnliche Lücke wurde bereits im März 2012 entdeckt.


eye home zur Startseite
Scorcher24 12. Jun 2014

Unnötige Arbeit. Du hast natürlich recht, es hätte schlimmer sein können, nervt trotzdem.



Anzeige

Stellenmarkt
  1. Dataport, Hamburg
  2. CENIT AG, Stuttgart, deutschlandweit
  3. The unbelievable Machine Company GmbH, Frankfurt am Main
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Spiele-Angebote
  1. 23,99€
  2. (u. a. Uncharted 4 34,99€, Ratchet & Clank 29,00€, The Last of Us Remastered 28,98€, The...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Zero G

    Schwerelos im Quadrocopter

  2. Streaming

    Youtube hat 1 Milliarde US-Dollar an Musikindustrie gezahlt

  3. US-Wahl 2016

    Nein, Big Data erklärt Donald Trumps Wahlsieg nicht

  4. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  5. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  6. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  7. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  8. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  9. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  10. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

  1. Re: Das gibtsdoch schon lange....

    My1 | 22:48

  2. Re: Wer sich nicht sicher ist ob ein Anrufer...

    luarix | 22:47

  3. Re: Akku leer?

    Squirrelchen | 22:47

  4. Re: Unnötig

    Moe479 | 22:47

  5. Re: Natuerlich gibt es das zu kaufen

    EWCH | 22:45


  1. 18:49

  2. 17:38

  3. 17:20

  4. 16:42

  5. 15:05

  6. 14:54

  7. 14:50

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel