Javascriptbug legt Twitter lam (update)
Schrijf zelf je hack
21 september 2010 | Jeroen Geuens
Microblog Twitter ondervindt last van een nieuw lek in zijn beveiligingsnet: door een stukje Javascript te tweeten is het mogelijk verschillende acties automatisch uit te voeren.
Beveiligingsbedrijf Sophos.com meldde eerder vandaag dat de Twitterwebsite te kampen heeft met de automatische uitvoering van code in tweets. Zo is het mogelijk de achtergrondkleur van tekst te veranderen, pop-ups te tonen of gebruikers door te sluizen naar websites met malware.
Enkel de webversie van Twitter lijkt echter hinder te ondervinden: wie applicaties zoals TweetDeck en DestroyTwitter gebruikt, hoeft zich geen zorgen te maken. Wel is het mogelijk dat het lek browserplug-ins mee de dieperik in sleurt: PowerTwitter voor Firefox ondervindt in elk geval problemen door deze slordigheid.
Herkent geen HTML
De oorzaak van het lek ligt waarschijnlijk bij het feit dat Twitter geen HTML-code herkent in zijn berichten. Zo kunnen gewiekste surfers attributen veranderen van een hyperlink en zelfs een onmouseover-gebeurtenis toevoegen.
Door dit laatste is het mogelijk surfers door te sturen of pop-ups voor te schotelen wanneer ze met hun muisaanwijzer over een tweet bewegen. Of hoe een stukje tekst een website om zeep kan helpen.
Ondertussen lijkt er ook een script in omloop waarbij de homepagina van Twitter een grote link wordt. Het is dus niet meer nodig om met je muis over een tweet te bewegen: je muis over de homepagina bewegen is genoeg om de code van Twittergebruiker Unlevin te retweeten.
Update 16.10 uur:
Del Harvey, hoofd veiligheid bij Twitter, zegt in een tweet dat de kust weer veilig is. "De XSS-lekken zijn volledig gedicht en niet meer uit te buiten. Dank aan hen die de fout rapporteerden."
bron: ZDNet
Related Partner info »
Lees verder op ZDNet »
Google: Sun wou maar 100 miljoen voor Javapatenten
Twitterspam door gelekte Gawker-database
Twitter integreert muziek, video's en foto's
Google betaalt voor melden van lekken
Twitter krijgt nieuwe topman
Nederlandse koningin gaat twitteren
Twitter wist al maand van lek
Bug zorgt voor spam op Facebook
Nieuwe phishingvorm bootst tabs na
Twitterbug zorgt voor chaos
Google-blog over bugs
Www-bedenker hekelt IE en Javascript
Nog meer op ZDNet »
To .be or not to .be
Blog : De Redactie
Het zijn hoogdagen voor ICANN. De organisatie krijgt bakken geld voor nieuwe toplevel domeinnamen. Maar wie staat te springen om ze te gebruiken?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
