Achtung! Tweetdeck von XSS-Lücke betroffen
von caschy | 12 Kommentare
Nutzer des von Twitter aufgekauften Clients Tweetdeck machen derzeit eine unschöne Erfahrung. Der Client ist anfällig für XSS (Cross Site Scripting) und es gibt bereits viele, die diese Lücke ausnutzen. So kann es sein, dass euch im Client seltsame Popups mit Meldungen entgegenspringen. Ein vom Nutzer platziertes Script in der Statusmitteilung kommt dann als Popup beim Empfänger an, was eine Meldung nach sich zieht, von der der Nutzer denken könnte, dass sie von Tweetdeck kommt – und das ist noch die harmlose Variante, oft wird so in anderen Fällen auch Schadcode eingeschleust.. Hierdurch könnte Tweetdeck zu einer Sicherheitslücke werden, denn der Client scheint Code nicht aus Tweets zu entfernen, sodass man von der Nutzung erst einmal abraten kann. Im besten Fall entzieht ihr Tweetdeck erst einmal den Zugriff auf euer Konto. (Update, Lücke wurde gefixt – ihr müsst euch lediglich neu anmelden)
What the hell pic.twitter.com/YjQUfQhBcU
— Daki (@DakiX) 11. Juni 2014
Wird geladen ...
Blöde Frage, aber ist nur der Client (App) betroffen oder auch der Service über den Browser?
Webclient scheint clean zu sein, Tags werden normal angezeigt und Unicodes werden nicht aufgelöst.
Danke für den Tip, dann vorerst Tweetdeck nicht mehr benutzen. Hoffe die fixen das flott.
„A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.“
https://twitter.com/TweetDeck/status/476763638695743489/
@chris … auch im browser!!! nicht nur der standalone client.. zumindest bei mir (firefox 29 auf manjaro linux) werden die scripte ueber tweets problemlos ausgefuerht.
Zumindest ich kann Tweetdeck weder über das Chrome Addon noch über die Webapp erreichen mittlerweile… Wie ist sowas überhaupt möglich? Da muss doch JS geparsed anstatt escaped oder entfernt zu werden…
Ich kann die Setie seit ein paar Minuten wieder erreichen, mich jedoch nicht einloggen.
Momentan wurde Tweetdeck Offline genommen.
Ist wieder online (@Niopthen)
Ja und scheint im ersten Moment soweit gefixt zu sein. Mal hoffen…
In der Chrome-App ist es definitiv noch nicht gefixt. Das ist ja soooo witzig gleich die Lücke auszunutzen… Ich muss TweetDeck halt nur produktiv verwenden, das nervt sooo sehr….
Jemand eine Idee, ob das wirklich gefxit wurde, da es in dem Tweet auch Aussagen gibt es wäre noch nicht der Fall: https://twitter.com/TweetDeck/status/476784927791280128
Frag mich was ein Ein-/Ausloggen bringen soll (Windows App), ist das nicht eher ein Softwarebug?