Twitter mit großer Sicherheitslücke – Vorsicht beim Aufruf von Profilen

26. August 2009

in Twitter

Bereits gestern berichtete Mashable über eine potenzielle Sicherheitslücke, die beim Aufrufen eines Twitter-Profils einen schadhaften Code ausführen kann.

Doch noch im gleichen Artikel gab Mashable Entwarnung

Yeah, those are all bad things. We reported this exploit to Twitter earlier today, holding off publishing until the vulnerability was addressed. We’re glad to now report that Twitter has fixed the exploit. It has been patched so that nobody can do serious harm with it.
Quelle

Es ging darum, dass seitdem Twitter den nofollow HTML Tag bei den URLs von Profilen eingeführt hat, anscheinend nahezu jeder beliebiger Code, durch das Ändern der Profil-URL eines Accounts, ausgeführt werden kann.

Fehler immer noch nicht behoben

Der Fehler ist anscheinend immer noch nicht behoben, wie man bei beim Aufruf dieses (harmlosen), vom UK Suchmaschinenoptimierer Dave Naylor erstellten Accounts, sehen kann.

Twitter Sicherheitslücke

Empfehlung

Bis Twitter die Sicherheitslücke behoben hat, Profile nur noch via API, also einem Twitter Client wie TweetDeck oder twhirl aufrufen.

Durch diese Sicherheitslücke wäre es ohne Probleme möglich, dein Twitter Cookie, fast gleichzusetzen mit deinem Passwort, einem Angreifer automatisch zukommen zu lassen.

  • http://twitter.com/gr4y Sascha

    Ich lese Mashable ja nicht, weil mir das alles zu irrelevant ist, aber wieso schafft es Twitter eigentlich, sich schon wieder verwundbar zu machen?

    Das letzte mal hat ja jemand über die Felder für die Farbangaben diesen lustigen Mikkey-Wurm eingeschleust. Ich verstand ja schon damals nicht wieso man ein Textfeld, in dem sowieso nur 6 Zeichen zu erwarten waren, nicht auch auf auf eben diese 6 Zeichen begrenzt

Vorheriger Beitrag:

Nächster Beitrag: