Abo
  • Services:
Anzeige
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck.
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck. (Bild: Firo XI/Screenshot: Golem.de)

Security: Ein Herz legt Tweetdeck lahm

Über eine XSS-Lücke in Tweetdeck wurden Tausende Twitter-Nachrichten innerhalb weniger Stunden automatisch weitergeleitet. Ein Fehler in der Verarbeitung des Unicode-Zeichens für das Herzsymbol sorgte für automatische Retweets.

Anzeige

Erneut hat eine Cross-Site-Scripting-Lücke in Twitters webbasierter Anwendung Tweetdeck dazu geführt, dass sich Tweets tausendfach selbst über den Kurznachrichtendienst im Netz verbreiteten. Ein 19-jähriger Österreicher hatte die Lücke zufällig entdeckt und sofort gemeldet. Andere nutzten die Lücke, um Tweets mit Javascript zu verbreiten, die dafür sorgte, dass sie sich automatisch selbst retweeteten. Twitter hat die Lücke inzwischen geschlossen.

  • Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)
Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)

Normalerweise werden weder HTML-Tags noch Javascript in Tweets verarbeitet, sondern diese als Text angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für ein Herz aus, als er merkte, dass dabei HTML-Tags verarbeitet wurden. Ein anschließender Test mit Javascript funktionierte ebenfalls. Er konnte in Tweetdeck ein Dialogfenster damit öffnen.

Inzwischen hatten weitere Nutzer Firos Tweets bemerkt und die gefundene Lücke verbreitete sich weiter über Twitter. Firo hatte die Lücke ordnungsgemäß an @Tweetdeck gemeldet. Wenig später informierte Twitter selbst über die Sicherheitslücke und deaktivierte den Tweetdeck-Dienst vorübergehend. Die Lücke wurde umgehend geschlossen. Inzwischen hatten andere präparierte Tweets zusammengestellt, darunter @derGeruhn. Sein Tweet retweetete sich per Javascript automatisch selbst und zeigte eine Warnung an, Tweetdeck sei unsicher - über 82.000-mal. Darunter waren auch zahlreiche Twitter-Konten mit mehreren Millionen Followern.

Bislang gibt es keine Meldungen darüber, dass die Lücke böswillig ausgenutzt worden sei. Da die Lücke aber den sichtbaren Code automatisch ausführt, könnte er dazu genutzt worden sein, die Session-ID eines Nutzers zu stehlen und sein Konto vorübergehend zu kapern. Nutzern wird geraten, sich von Tweetdeck ab- und wieder anzumelden, damit die Reparaturen übernommen werden. Eine ähnliche Lücke wurde bereits im März 2012 entdeckt.


eye home zur Startseite
Scorcher24 12. Jun 2014

Unnötige Arbeit. Du hast natürlich recht, es hätte schlimmer sein können, nervt trotzdem.



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. DIEBOLD NIXDORF, Paderborn
  3. MediaMarktSaturn IT Solutions, Ingolstadt
  4. Bertrandt Services GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Platoon, Erbarmungslos, Training Day, Spaceballs, Einsame Entscheidung)
  2. (u. a. Unter dem Sand, The Neon Demon, Union Pacific)
  3. 23,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  2. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  3. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  4. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  5. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  6. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  7. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  8. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  9. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  10. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

Lithium-Akkus: Durchbruch verzweifelt gesucht
Lithium-Akkus
Durchbruch verzweifelt gesucht
  1. Super MCharge Smartphone-Akku in 20 Minuten voll geladen
  2. Brandgefahr HP ruft über 100.000 Notebook-Akkus zurück
  3. Brandgefahr Akku mit eingebautem Feuerlöscher

  1. Re: Ich kenn die Preis bei euch nicht

    tokiox | 09:19

  2. Re: Betonköpfe

    Sharra | 09:14

  3. Re: Da das Problem der Akku ist...

    Sharra | 09:11

  4. Das wird lustig... deutsche Kleingeister vs...

    schnedan | 09:07

  5. Re: Ist eine im Internet verbreitetete Sendung...

    Clouds | 09:03


  1. 15:20

  2. 14:13

  3. 12:52

  4. 12:39

  5. 09:03

  6. 17:45

  7. 17:32

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel