Abo
  • Services:
Anzeige
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck.
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck. (Bild: Firo XI/Screenshot: Golem.de)

Security: Ein Herz legt Tweetdeck lahm

Über eine XSS-Lücke in Tweetdeck wurden Tausende Twitter-Nachrichten innerhalb weniger Stunden automatisch weitergeleitet. Ein Fehler in der Verarbeitung des Unicode-Zeichens für das Herzsymbol sorgte für automatische Retweets.

Anzeige

Erneut hat eine Cross-Site-Scripting-Lücke in Twitters webbasierter Anwendung Tweetdeck dazu geführt, dass sich Tweets tausendfach selbst über den Kurznachrichtendienst im Netz verbreiteten. Ein 19-jähriger Österreicher hatte die Lücke zufällig entdeckt und sofort gemeldet. Andere nutzten die Lücke, um Tweets mit Javascript zu verbreiten, die dafür sorgte, dass sie sich automatisch selbst retweeteten. Twitter hat die Lücke inzwischen geschlossen.

  • Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)
Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)

Normalerweise werden weder HTML-Tags noch Javascript in Tweets verarbeitet, sondern diese als Text angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für ein Herz aus, als er merkte, dass dabei HTML-Tags verarbeitet wurden. Ein anschließender Test mit Javascript funktionierte ebenfalls. Er konnte in Tweetdeck ein Dialogfenster damit öffnen.

Inzwischen hatten weitere Nutzer Firos Tweets bemerkt und die gefundene Lücke verbreitete sich weiter über Twitter. Firo hatte die Lücke ordnungsgemäß an @Tweetdeck gemeldet. Wenig später informierte Twitter selbst über die Sicherheitslücke und deaktivierte den Tweetdeck-Dienst vorübergehend. Die Lücke wurde umgehend geschlossen. Inzwischen hatten andere präparierte Tweets zusammengestellt, darunter @derGeruhn. Sein Tweet retweetete sich per Javascript automatisch selbst und zeigte eine Warnung an, Tweetdeck sei unsicher - über 82.000-mal. Darunter waren auch zahlreiche Twitter-Konten mit mehreren Millionen Followern.

Bislang gibt es keine Meldungen darüber, dass die Lücke böswillig ausgenutzt worden sei. Da die Lücke aber den sichtbaren Code automatisch ausführt, könnte er dazu genutzt worden sein, die Session-ID eines Nutzers zu stehlen und sein Konto vorübergehend zu kapern. Nutzern wird geraten, sich von Tweetdeck ab- und wieder anzumelden, damit die Reparaturen übernommen werden. Eine ähnliche Lücke wurde bereits im März 2012 entdeckt.


eye home zur Startseite
Scorcher24 12. Jun 2014

Unnötige Arbeit. Du hast natürlich recht, es hätte schlimmer sein können, nervt trotzdem.



Anzeige

Stellenmarkt
  1. ENERTRAG Aktiengesellschaft, Dauerthal, Berlin, Edemissen
  2. equensWorldline GmbH, Aachen
  3. IKOR Management- und Systemberatung GmbH, deutschlandweit
  4. Bundesdruckerei GmbH, Berlin


Anzeige
Top-Angebote
  1. 89,90€ (Vergleichspreis ab 129,84€)
  2. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: Für Vermögende die kreativ sein wollen..

    awgher | 05:24

  2. Re: Wannacry? Linux lacht :)

    ArcherV | 04:13

  3. Re: 1400W... für welche Hardware?

    ArcherV | 04:10

  4. Re: Warum überhaupt VLC nutzen

    ve2000 | 03:26

  5. Re: Unix, das Betriebssystem von Entwicklern, für...

    __destruct() | 03:26


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel