Twitter mit XSS-Lücke

Erneut gibt es eine Sicherheitslücke bei Twitter zu vermelden. Sie steht allerdings in keinem Zusammenhang zum Verdacht der “Klick-Verfolgung” einige Tage zuvor. In diesem Fall handelt es sich um eine so genannte Cross-Site-Scripting Lücke, bei der in einen Tweet der schädliche Script-Code embeded wird.

Durch die Schwachstelle ist es den Tätern möglich praktische alle Funktionen die durch Javascript zu realisieren sind, zu seinem Vorteil zu nutzen. Dazu gehören beispielsweise die Fähigkeit, Tweets unter dem Namen des betroffenen Twitter-Nutzers zu versenden, oder und dies dürfte besonders kritisch sein, Redirects zu anderen Webseiten durchzuführen.

Entgegen ersten Behauptungen ist die Lücke weiterhin nicht behoben. Als Vorbeugungsmaßnahme wird empfohlen bei Twitternutzung mit dem Browser, javascript zu deaktivieren (für Mozilla Firefox-Benutzer dürfte mit der Erweiterung NoScript die Verwaltung von Scripten und deren Berechtigungen kein Problem sein).

Kommentare sind geschlossen.