Demo zu Twitter-Sicherheitslücke verbreitet sich rasant [2.Update]

Eine Sicherheitslücke der Micro-Blogging-Site Twitter wird derzeit aktiv ausgenutzt. Über eingeschleusten Script-Code können Übeltäter unter anderem das Twitter-Cookie mit den Authentifizierungsdaten auslesen.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.

Eine Sicherheitslücke der Micro-Blogging-Site Twitter wird derzeit aktiv ausgenutzt. Über eingeschleusten Script-Code können Übeltäter unter anderem das Twitter-Cookie mit Authentifizierungsdaten auslesen. Ersten Einschätzungen zufolge, lässt sich diese Cross-Site-Scripting-Lücke jedoch auch nutzen, um einen Wurm zu erstellen, der sich automatisch auf Twitter verbreitet. Erster Wurm-Code soll bereits aufgetaucht sein.

Die aktuelle Demo zeigt den Inhalt des Twitter-Cookies an.

Bei einem Test der kursierenden Demo öffnete sich ein Fenster mit den Datenschnippseln des Cookies als der Mauszeiger über den in der Twitter-Seite angezeigten Links fuhr (mouseover). Es tauchten auch zunehmend Farbflächen in Tweets auf der Twitter-Website auf, die beispielsweise automatische Retweets auslösten. Wer sich davor schützen will, sollte JavaScript deaktivieren. Das geht mit der Firefox-Erweiterung NoScript auch selektiv für bestimmte Seiten; Browser wie Chrome oder Opera unterstützen das Blockiern von JavaScript nur für bestimmte Seiten auch von Haus aus (bei Opera unter Sitespezifischen Einstellungen, bei Chrome lassen sich bei der Aktivierung von JavaScript einzelne Seiten ausschließen). Auch Clients, die über die Twitter-API arbeiten, sind von dem Problem offensichtlich nicht betroffen, sie zeigen stattdessen Tweets nach dem Muster http://t.co/@"onmouseover ... an.

[Update]:
Zeitweise hat Twitter auf seiner Website die Timeline für öffentliche Tweets ausgeschaltet, behoben ist das Problem aber derzeit noch nicht. Will man etwaige von Script-Code ausgelöste Retweets beseitigen, damit nicht noch mehr Anwender darauf hereinfallen, gelingt dies in der Regel durch die entsprechenden Funktionen der API-Clients, etwa Tweetdeck, oder die mobile Twitter-Seite unter m.twitter.com, die von dem Script-Problem nicht betroffen zu sein scheint. Grundsätzlich ist aber die reguläre Website von Twitter derzeit zu meiden, bis der Anbieter die Lücke geschlossen hat: Etwas Twitter-Pause ist der beste Schutz.

[2. Update]
Laut Del Harvey, Leiterin von Twitters Trust und Safety Team, wurde das Problem jetzt vollständig behoben und sollte sich nicht mehr ausnutzen lassen.


(ju)