News
28.08.2009, 07:35 Uhr
Sicherheitslücke bei Twitter
In der Programmierschnittstelle von Twitter steckt eine Schwachstelle, die es einem Angreifer ermöglicht, Script-Code in den Browser einzuschleusen. Das Opfer muss dazu lediglich einen Tweet anschauen.
Der Software-Entwickler James Slater hat eine Schwachstelle in der Twitter-API selbst bekannt gemacht, die zu schliessen den Twitter-Programmierern noch nicht gelungen ist.
Der Fehler lässt sich ausnutzen, um Script-Code, der in einen Tweet eingebettet wird, im Browser jedes Benutzers auszuführen, der den Tweet anschaut. Der Schwachpunkt ist ein Feld, das für den Namen der Anwendung reserviert ist, mit der ein Tweet erstellt wird. In diesem Feld könnten Angreifer einen Aufruf eines externen Scripts unterbringen. Der Fehler ermöglicht es einem Angreifer, im Namen des angemeldeten Twitter-Nutzers Tweets zu versenden, Cookies auszulesen oder Benutzer auf beliebige andere Website umzuleiten. Kurz gesagt: das Script kann alles machen, was der Browser per JavaScript ermöglicht. Angreifer müssten lediglich eine kleine Anwendung programmieren (oder eine quelloffene etwas modifizieren), um derart präparierte Tweets aussenden zu können.
Slater hatte die Sicherheitslücke am Dienstag an Twitter gemeldet. Twitter behauptete wenig später, den Fehler behoben zu haben. Doch am Mittwoch hat sich Slater erneut zu Wort gemeldet und meinte, dies sei nicht der Fall. Twitter habe lediglich eine der Möglichkeiten beseitigt die Schwachstelle auszunutzen. Außerdem hat Twitter zweimal die Benutzerkonten von James Slater gelöscht, mit denen er die Sicherheitslücke demonstriert hat.
Soweit bislang bekannt, existiert diese Schwachstelle also weiterhin in Twitter. Wer Twitter mit dem Browser nutzt, sollte sicher stellen, dass JavaScript ausgeschaltet ist. Für Firefox bietet sich dafür die Erweiterung Noscript an.
Der Fehler lässt sich ausnutzen, um Script-Code, der in einen Tweet eingebettet wird, im Browser jedes Benutzers auszuführen, der den Tweet anschaut. Der Schwachpunkt ist ein Feld, das für den Namen der Anwendung reserviert ist, mit der ein Tweet erstellt wird. In diesem Feld könnten Angreifer einen Aufruf eines externen Scripts unterbringen. Der Fehler ermöglicht es einem Angreifer, im Namen des angemeldeten Twitter-Nutzers Tweets zu versenden, Cookies auszulesen oder Benutzer auf beliebige andere Website umzuleiten. Kurz gesagt: das Script kann alles machen, was der Browser per JavaScript ermöglicht. Angreifer müssten lediglich eine kleine Anwendung programmieren (oder eine quelloffene etwas modifizieren), um derart präparierte Tweets aussenden zu können.
Slater hatte die Sicherheitslücke am Dienstag an Twitter gemeldet. Twitter behauptete wenig später, den Fehler behoben zu haben. Doch am Mittwoch hat sich Slater erneut zu Wort gemeldet und meinte, dies sei nicht der Fall. Twitter habe lediglich eine der Möglichkeiten beseitigt die Schwachstelle auszunutzen. Außerdem hat Twitter zweimal die Benutzerkonten von James Slater gelöscht, mit denen er die Sicherheitslücke demonstriert hat.
Soweit bislang bekannt, existiert diese Schwachstelle also weiterhin in Twitter. Wer Twitter mit dem Browser nutzt, sollte sicher stellen, dass JavaScript ausgeschaltet ist. Für Firefox bietet sich dafür die Erweiterung Noscript an.
Kommentare
Es sind keine Kommentare vorhanden.
