Twitter und der XSS-Zombie
Eigentlich hatte der Mikroblogging-Dienst die Sicherheitslücke, die gestern viele Nutzer traf, schon vor einem Monat beseitigt. Doch irgendwie tauchte sie dann doch wieder auf.
Bereits im August änderte der Twitter-Entwickler Ben Cherry den Code einer Twitter-Bibliothek mit dem Kommentar "closed XSS after the @". Doch weil die Twitter-Server plötzlich doch wieder verwundbar waren, kam es gestern zu einer Lawine von Tweets, die diese Sicherheitslücke ausnutzten.
Die öffentlich einsehbare Dokumentation der Codeänderung vom 24. August enthielt sogar einen Demo-Link, der denen, die gestern die Runde machten, zum Verwechseln ähnlich sieht. Das Problem war, dass eine URL der Form http://x.xx/@ den Parser so durcheinanderbrachte, dass man im Weiteren JavaScript-Code einschleusen konnte, der dann mit dem Tweet abgespeichert und im Browser der Twitter-Nutzer auch in die Seite eingebettet wurde. Bei einem Ereignis wie dem Überfahren des Links mit der Maus (onmouseover) wurde der Code dann aktiv.
Nach Angaben von Twitter wurde das Problem im vorigen Monat tatsächlich behoben. Es sei jedoch bei einem weiteren Update der Site "unbemerkt wieder aufgetaucht". Als dann gestern die ersten Demo-Tweets die Runde machten, funktionierte das Einschleusen von Scriptcode folglich wieder. Innerhalb weniger als einer Stunde, nachdem die ersten harmlosen Demos JavaScript-Nachrichten anzeigten, entstanden Variationen, die sich selbstständig als Retweets weiterverbreiteten oder auch weiteren JavaScript-Code von externen Sites nachluden, dessen Funktion zum Teil immer noch unbekannt ist. Kurz darauf hat Twitter das Problem erneut beseitigt, die Gefahr scheint derzeit wieder gebannt.
Wie es passieren konnte, dass ein einmal behobenes Sicherheitsproblem wieder akut werden konnte – und was man dagegen tun will, dass sich dieser Vorgang wiederholt – erläuterte Twitter nicht. (ju)
