Achtung! Tweetdeck von XSS-Lücke betroffen

Nutzer des von Twitter aufgekauften Clients Tweetdeck machen derzeit eine unschöne Erfahrung. Der Client ist anfällig für XSS (Cross Site Scripting) und es gibt bereits viele, die diese Lücke ausnutzen. So kann es sein, dass euch im Client seltsame Popups mit Meldungen entgegenspringen. Ein vom Nutzer platziertes Script in der Statusmitteilung kommt dann als Popup beim Empfänger an, was eine Meldung nach sich zieht, von der der Nutzer denken könnte, dass sie von Tweetdeck kommt – und das ist noch die harmlose Variante, oft wird so in anderen Fällen auch Schadcode eingeschleust.. Hierdurch könnte Tweetdeck zu einer Sicherheitslücke werden, denn der Client scheint Code nicht aus Tweets zu entfernen, sodass man von der Nutzung erst einmal abraten kann. Im besten Fall entzieht ihr Tweetdeck erst einmal den Zugriff auf euer Konto. (Update, Lücke wurde gefixt – ihr müsst euch lediglich neu anmelden)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Chris Lietze says:

    Blöde Frage, aber ist nur der Client (App) betroffen oder auch der Service über den Browser?

  2. Webclient scheint clean zu sein, Tags werden normal angezeigt und Unicodes werden nicht aufgelöst.

  3. Danke für den Tip, dann vorerst Tweetdeck nicht mehr benutzen. Hoffe die fixen das flott.

  4. „A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.“

    https://twitter.com/TweetDeck/status/476763638695743489/

  5. @chris … auch im browser!!! nicht nur der standalone client.. zumindest bei mir (firefox 29 auf manjaro linux) werden die scripte ueber tweets problemlos ausgefuerht.

  6. Zumindest ich kann Tweetdeck weder über das Chrome Addon noch über die Webapp erreichen mittlerweile… Wie ist sowas überhaupt möglich? Da muss doch JS geparsed anstatt escaped oder entfernt zu werden…

  7. Ich kann die Setie seit ein paar Minuten wieder erreichen, mich jedoch nicht einloggen.

  8. Momentan wurde Tweetdeck Offline genommen.

  9. Ist wieder online (@Niopthen)

  10. In der Chrome-App ist es definitiv noch nicht gefixt. Das ist ja soooo witzig gleich die Lücke auszunutzen… Ich muss TweetDeck halt nur produktiv verwenden, das nervt sooo sehr….

  11. Jemand eine Idee, ob das wirklich gefxit wurde, da es in dem Tweet auch Aussagen gibt es wäre noch nicht der Fall: https://twitter.com/TweetDeck/status/476784927791280128

    Frag mich was ein Ein-/Ausloggen bringen soll (Windows App), ist das nicht eher ein Softwarebug?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.