TweetDeck mit Herzfehler

Eine Sicherheitslücke in dem Twitter-Client TweetDeck sorgte in der Nutzergemeinde seit Mittwochabend für Verwirrung. Das Programm führte in Tweets eingebetteten JavaScript-Code aus, wenn die Nachricht bestimmte Unicode-Zeichen wie ♥ enthielt. Es handelt sich dabei um persistentes Cross-Site-Scripting (XSS), durch die ein Angreifer durchaus Schaden anrichten kann: Durch eingeschleustes JavaScript kann er etwa Cookies abgreifen oder Malware verteilen. In den meisten Fällen scheint die Lücke jedoch nur für harmlose Popup-Meldungen (alert();) genutzt worden zu sein.

Twitter hat sich TweetDeck im Jahr 2011 einverleibt. Das Unternehmen hat den Dienst nach Bekanntwerden der Lücke zunächst vom Netz genommen. Die Lücke wurde inzwischen geschlossen, TweetDeck ist wieder am Netz. Der Dienst war bereits in der Vergangenheit für XSS anfällig. (rei)