Virus legt met bloedgang Twittergemeenschap lam

0

twitter-virusMicroblog Twitter ondervindt last van een nieuw lek in zijn beveiligingsnet: door een stukje Javascript te tweeten is het mogelijk verschillende acties automatisch uit te voeren.

Beveiligingsbedrijf Sophos.com meldde eerder vandaag dat de Twitterwebsite te kampen heeft met de automatische


uitvoering van code in tweets. Zo is het mogelijk de achtergrondkleur van tekst te veranderen, pop-ups te tonen of gebruikers door te sluizen naar websites met malware.

Enkel de webversie van Twitter lijkt echter hinder te ondervinden: wie applicaties zoals TweetDeck en DestroyTwitter gebruikt, hoeft zich geen zorgen te maken. Wel is het mogelijk dat het lek browserplug-ins mee de dieperik in sleurt: PowerTwitter voor Firefox ondervindt in elk geval problemen door deze slordigheid.

Herkent geen HTML

De oorzaak van het lek ligt waarschijnlijk bij het feit dat Twitter geen HTML-code herkent in zijn berichten. Zo kunnen gewiekste surfers attributen veranderen van een hyperlink en zelfs een onmouseover-gebeurtenis toevoegen.

Door dit laatste is het mogelijk surfers door te sturen of pop-ups voor te schotelen wanneer ze met hun muisaanwijzer over een tweet bewegen. Of hoe een stukje tekst een website om zeep kan helpen.

Ondertussen lijkt er ook een script in omloop waarbij de homepagina van Twitter een grote link wordt. Het is dus niet meer nodig om met je muis over een tweet te bewegen: je muis over de homepagina bewegen is genoeg om de code van Twittergebruiker Unlevin te retweeten. (Bron ZDNet.be)

Update 16.10 uur:

Del Harvey, hoofd veiligheid bij Twitter, zegt in een tweet dat de kust weer veilig is. “De XSS-lekken zijn volledig gedicht en niet meer uit te buiten. Dank aan hen die de fout rapporteerden.”

Reageren

X
X

Deel dit met een vriend