XSS Lücke auf Twitter UPDATE

Wer exzessiv Twitter nutzt sollte in nächster Zeit vorsichtig sein bei fremden Links. Laut Gulli.com ist eine neue Sicherheitslücke aufgetaucht die dazu genutzt werden kann Links über fremde Accounts zu verteilen:

Damit diese Lücke genutzt werden kann reicht es, einen präparierten Link anzuklicken. Da über Twitter die Links häufig in verkürzter Form (per tinyurl-Dienste) verbreitet werden ist es für den Anwender schwer zu sagen, was genau sich hinter dem Link verbirgt und ob man auf eine Malwareseite kommt oder nicht. Besonders problematisch: wurden Accounts infiziert können diese ebenfalls präparierte Links weiter verteilen. Selbst wenn man den Absender kennt und ihm vertraut kann es also passieren, dass man gefakte Links untergeschoben bekommt.

Twitter selbst soll bereits an dem Problem arbeiten, derzeit ist die Lücke aber noch nicht geschlossen.

[UPDATE]

Auf heise kann man derzeit weitere Details zu dem Problem nachlesen:

Der Exploit macht sich zu Nutze, dass eine Twitter-Seite mit einem Antragsformular den Inhalt der Variablen device_source[name] ungefiltert übernimmt und einbettet. So gelangt JavaScript-Code in den Kontext der Web-Anwendung. Er erzeugt ein verstecktes HTML-Formular, das er dann selbst abschickt, um im Namen des angemeldeten Benutzers einen neuen Tweet an die Twitter-API zu senden.

1 Kommentar zu "XSS Lücke auf Twitter UPDATE"

  1. Klingt stark nach Hoax. Wenn’s nur durch Anklicken möglich wäre, hätte man das schon mitbekommen.

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*