Abo
  • Services:
Anzeige
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck.
Der Twitter-Nutzer Firo IX entdeckte eine Sicherheitslücke in Tweetdeck. (Bild: Firo XI/Screenshot: Golem.de)

Security: Ein Herz legt Tweetdeck lahm

Über eine XSS-Lücke in Tweetdeck wurden Tausende Twitter-Nachrichten innerhalb weniger Stunden automatisch weitergeleitet. Ein Fehler in der Verarbeitung des Unicode-Zeichens für das Herzsymbol sorgte für automatische Retweets.

Anzeige

Erneut hat eine Cross-Site-Scripting-Lücke in Twitters webbasierter Anwendung Tweetdeck dazu geführt, dass sich Tweets tausendfach selbst über den Kurznachrichtendienst im Netz verbreiteten. Ein 19-jähriger Österreicher hatte die Lücke zufällig entdeckt und sofort gemeldet. Andere nutzten die Lücke, um Tweets mit Javascript zu verbreiten, die dafür sorgte, dass sie sich automatisch selbst retweeteten. Twitter hat die Lücke inzwischen geschlossen.

  • Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)
Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)

Normalerweise werden weder HTML-Tags noch Javascript in Tweets verarbeitet, sondern diese als Text angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für ein Herz aus, als er merkte, dass dabei HTML-Tags verarbeitet wurden. Ein anschließender Test mit Javascript funktionierte ebenfalls. Er konnte in Tweetdeck ein Dialogfenster damit öffnen.

Inzwischen hatten weitere Nutzer Firos Tweets bemerkt und die gefundene Lücke verbreitete sich weiter über Twitter. Firo hatte die Lücke ordnungsgemäß an @Tweetdeck gemeldet. Wenig später informierte Twitter selbst über die Sicherheitslücke und deaktivierte den Tweetdeck-Dienst vorübergehend. Die Lücke wurde umgehend geschlossen. Inzwischen hatten andere präparierte Tweets zusammengestellt, darunter @derGeruhn. Sein Tweet retweetete sich per Javascript automatisch selbst und zeigte eine Warnung an, Tweetdeck sei unsicher - über 82.000-mal. Darunter waren auch zahlreiche Twitter-Konten mit mehreren Millionen Followern.

Bislang gibt es keine Meldungen darüber, dass die Lücke böswillig ausgenutzt worden sei. Da die Lücke aber den sichtbaren Code automatisch ausführt, könnte er dazu genutzt worden sein, die Session-ID eines Nutzers zu stehlen und sein Konto vorübergehend zu kapern. Nutzern wird geraten, sich von Tweetdeck ab- und wieder anzumelden, damit die Reparaturen übernommen werden. Eine ähnliche Lücke wurde bereits im März 2012 entdeckt.


eye home zur Startseite
Scorcher24 12. Jun 2014

Unnötige Arbeit. Du hast natürlich recht, es hätte schlimmer sein können, nervt trotzdem.



Anzeige

Stellenmarkt
  1. Bundesdruckerei GmbH, Berlin
  2. Hevert Arzneimittel GmbH & Co. KG, Nussbaum
  3. twocream, Wuppertal
  4. Hornetsecurity GmbH, Hannover


Anzeige
Top-Angebote
  1. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)
  2. 383,14€ - 30€ MSI-Cashback

Folgen Sie uns
       


  1. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  2. Marketplace

    Amazon spricht bei Sperrungen von "Prozessen zum Schutz"

  3. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  4. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  5. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  6. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops

  7. O2 und E-Plus

    Telefónica hat weiter Probleme außerhalb von Städten

  8. Project Zero

    Google-Entwickler baut Windows-Loader für Linux

  9. Dan Cases A4-SFX v2

    Minigehäuse erhält Fenster und wird Wakü-kompatibel

  10. Razer Core im Test

    Grafikbox + Ultrabook = Gaming-System



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wanna Cry: Wo die NSA-Exploits gewütet haben
Wanna Cry
Wo die NSA-Exploits gewütet haben
  1. Deutsche Bahn Schadsoftware lässt Anzeigetafeln auf Bahnhöfen ausfallen
  2. Wanna Cry NSA-Exploits legen weltweit Windows-Rechner lahm
  3. Mc Donald's Fatboy-Ransomware nutzt Big-Mac-Index zur Preisermittlung

Komplett-PC Corsair One Pro im Test: Kompakt, kräftig, kühl
Komplett-PC Corsair One Pro im Test
Kompakt, kräftig, kühl
  1. Corsair One Pro Doppelt wassergekühlter SFF-Rechner kostet 2.500 Euro

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Re: Ich kenne weiße Orte...

    narfomat | 17:15

  2. Ich sehe den LHC eher kritisch

    u-r158 | 17:10

  3. Informationsreicher Vortrag

    u-r158 | 17:09

  4. Re: Kann ich mit Alditalk nicht bestätigen

    DooMMasteR | 17:08

  5. Re: Gute Massnahme !!!

    HiddenX | 17:07


  1. 17:20

  2. 16:59

  3. 16:30

  4. 15:40

  5. 15:32

  6. 15:20

  7. 14:59

  8. 13:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel