Anzeige

Achtung! Tweetdeck von XSS-Lücke betroffen

Nutzer des von Twitter aufgekauften Clients Tweetdeck machen derzeit eine unschöne Erfahrung. Der Client ist anfällig für XSS (Cross Site Scripting) und es gibt bereits viele, die diese Lücke ausnutzen. So kann es sein, dass euch im Client seltsame Popups mit Meldungen entgegenspringen. Ein vom Nutzer platziertes Script in der Statusmitteilung kommt dann als Popup beim Empfänger an, was eine Meldung nach sich zieht, von der der Nutzer denken könnte, dass sie von Tweetdeck kommt – und das ist noch die harmlose Variante, oft wird so in anderen Fällen auch Schadcode eingeschleust.. Hierdurch könnte Tweetdeck zu einer Sicherheitslücke werden, denn der Client scheint Code nicht aus Tweets zu entfernen, sodass man von der Nutzung erst einmal abraten kann. Im besten Fall entzieht ihr Tweetdeck erst einmal den Zugriff auf euer Konto. (Update, Lücke wurde gefixt – ihr müsst euch lediglich neu anmelden)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Chris Lietze says:

    Blöde Frage, aber ist nur der Client (App) betroffen oder auch der Service über den Browser?

  2. Webclient scheint clean zu sein, Tags werden normal angezeigt und Unicodes werden nicht aufgelöst.

  3. Danke für den Tip, dann vorerst Tweetdeck nicht mehr benutzen. Hoffe die fixen das flott.

  4. „A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.“

    https://twitter.com/TweetDeck/status/476763638695743489/

  5. @chris … auch im browser!!! nicht nur der standalone client.. zumindest bei mir (firefox 29 auf manjaro linux) werden die scripte ueber tweets problemlos ausgefuerht.

  6. Zumindest ich kann Tweetdeck weder über das Chrome Addon noch über die Webapp erreichen mittlerweile… Wie ist sowas überhaupt möglich? Da muss doch JS geparsed anstatt escaped oder entfernt zu werden…

  7. Ich kann die Setie seit ein paar Minuten wieder erreichen, mich jedoch nicht einloggen.

  8. Momentan wurde Tweetdeck Offline genommen.

  9. Ist wieder online (@Niopthen)

  10. In der Chrome-App ist es definitiv noch nicht gefixt. Das ist ja soooo witzig gleich die Lücke auszunutzen… Ich muss TweetDeck halt nur produktiv verwenden, das nervt sooo sehr….

  11. Jemand eine Idee, ob das wirklich gefxit wurde, da es in dem Tweet auch Aussagen gibt es wäre noch nicht der Fall: https://twitter.com/TweetDeck/status/476784927791280128

    Frag mich was ein Ein-/Ausloggen bringen soll (Windows App), ist das nicht eher ein Softwarebug?

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.