Twitter: Details über XSS-Lücke vom Dienstag

Frank Ritter

Und plötzlich ging gar nichts mehr. Am gestrigen Dienstag tauchten plötzlich in den Timelines der Twitter-Nutzer weltweit obskure Nachrichten und merkwürdig formatierte Tweets auf, die sich ohne Zutun des Betrachters über dessen Account weitervermehren konnten. Jetzt kommuniziert Twitter, was schiefgelaufen ist und wie schnell man die Probleme in den Griff bekommen hat.

Ein aktueller Eintrag im Blog von Twitter schildert den Verlauf des “onMouseover incident” getauften Ereignisses. Nachts um 2:54 Uhr PDT (11:54 Uhr deutscher Zeit) wurde Twitter informiert, dass eine Sicherheitslücke auf der Website von twitter.com existiert und für die ein Exploit seit etwa einer halben Stunde “in freier Wildbahn” kursierte. Es handelte sich um eine XSS-Lücke, durch die JavaScript-Code in Tweets eingeschleust und ausgeführt werden konnte. Diese Lücke war bereits geschlossen, zu einem späteren Zeitpunkt jedoch wieder eingeführt worden – Twitter beeilt sich jedoch zu erklären, dass dies nicht mit dem neuen Layout #newtwitter zusammenhänge. Schnell kursierten mehrere Varianten der Lücke, unter anderem durch farbige Balken in Tweets, jedoch auch durch Tweets, die sich selbst vermehrten, sobald man mit der Maus über sie hinüberfuhr. Da die Schrift des Tweets auf ein Vielfaches der eigentlichen Größe vergrößert wurde, war es bereits ausreichend, nur mit der Maus ins Browserfenster zu gelangen, um den XSS-Wurm weiterzuverbreiten. Dabei wurde der JavaScript-Eventhandler “onMouseover” verwendet, der dem Ereignis auch den Namen gab.

Laut Twitter ist es zu keinen Schäden oder Kompromittierungen von Accounts gekommen. Mit Ausnahme einiger merkwürdiger Retweets, die immer noch in den Timelines stehen können, ist der Spuk seit Dienstag, 9:15 PDT (18:15 Uhr deutscher Zeit) vorbei. Bis zur nächsten Twitter-Lücke.

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz