Twitter: Sicherheitslücke lässt Pornoseiten auftauchen (Update)

commander@giga

Derzeit machen sich einige Nutzer eine Sicherheitslücke in Twitter zu Nutze, um auf Drittseiten, unter anderem japanische Pornoangebote, zu lenken. Angriffspunkt ist der JavaScript-Event Handler onMouseOver, bei dem Seiten beim Hinüberfahren mit der Maus geöffnet werden können und der von Twitter unter bestimmten Umständen nicht gefiltert wird.

Heute Vormittag tauchten in den Timelines auf Twitter vermehrt so genannte “Rainbow Tweets” auf. Diese färben einen Tweet als einfarbigen Block. Stehen mehrere dieser Tweets untereinander, ergeben sich eben jene Regenbögen. Nicht jeder Nutzer weiß, dass diese Blöcke mit JavaScript realisiert werden, der über nicht gefilterten Code bei Twitter eingeschleust werden kann. In diesen lassen sich auch andere Befehle einbauen.

Zahlreiche findige Twitterer nutzen dies nun, um in den JavaScript-Code Anweisungen einzubauen, einen Befehl, der einen Link sofort als Pop-up-Fenster öffnet, sobald man mit der Maus rüberfährt. Die meisten nutzen dies für irgendwelche Spielereien, jedoch sind natürlich auch Pornospammer sehr schnell auf diesen Gedanken gekommen. Ausgerechnet Großbritanniens ehemalige First Lady, Sarah Brown, sorgte so für die Verbreitung einer japanischen Sex-Seite. Sie bemühte sich dann recht schnell um Schadensbegrenzung, indem sie in einer Nachricht die Warnung hinterherschob, nicht auf den Link in ihrem vorherigen Tweet zu klicken (den sie wohl arglos retweetete, also von einem anderen Twitter-Nutzer übernahm).

Es besteht neben Spam und Schabernack natürlich auch die Gefahr, auf Seiten gelenkt zu werden, die ihrerseits schädlichen Code enthalten und so ernsthaftere Sicherheitsprobleme bewirken könnten. Insofern ist zu hoffen, dass Twitter zeitnah reagiert und den Exploit schließt. Solange sollten Nutzer eventuell auf Dritt-Clients ausweichen, in denen sich der JavaScript-Code deaktivieren lässt. Der von uns gestern vorgestellte Client Streamie ist beispielsweise sicher.

Update: Twitter vermeldet, dass die Sicherheitslücke ausgemacht und mittlerweile gepatched wurde.

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz