Javascriptbug legt Twitter lam (update)

Schrijf zelf je hack

21 september 2010 | Jeroen Geuens

Microblog Twitter ondervindt last van een nieuw lek in zijn beveiligingsnet: door een stukje Javascript te tweeten is het mogelijk verschillende acties automatisch uit te voeren.

Beveiligingsbedrijf Sophos.com meldde eerder vandaag dat de Twitterwebsite te kampen heeft met de automatische uitvoering van code in tweets. Zo is het mogelijk de achtergrondkleur van tekst te veranderen, pop-ups te tonen of gebruikers door te sluizen naar websites met malware.

Alleen de webversie van Twitter lijkt echter hinder te ondervinden: wie applicaties zoals TweetDeck en DestroyTwitter gebruikt, hoeft zich geen zorgen te maken. Wel is het mogelijk dat het lek browserplug-ins mee de afgrond in sleurt: PowerTwitter voor Firefox ondervindt in elk geval problemen door deze slordigheid.

Ondertussen lijkt er ook een script in omloop waarbij de homepagina van Twitter een grote link wordt. Het is dus niet meer nodig om met je muis over een tweet te bewegen: je muis over de homepagina bewegen is genoeg om de code van Twittergebruiker Unlevin te retweeten.

Herkent geen HTML
De oorzaak van het lek ligt waarschijnlijk bij het feit dat Twitter geen HTML-code herkent in zijn berichten. Zo kunnen gewiekste surfers attributen veranderen van een hyperlink en zelfs een onmouseover-gebeurtenis toevoegen.

Door dit laatste is het mogelijk surfers door te sturen of pop-ups voor te schotelen wanneer ze met hun muisaanwijzer over een tweet bewegen. Of hoe een stukje tekst een website om zeep kan helpen.

Update 16.10 uur:
Del Harvey, hoofd veiligheid bij Twitter, zegt in een tweet dat de kust weer veilig is. "De XSS-lekken zijn volledig gedicht en niet meer uit te buiten. Dank aan hen die de fout hebben gemeld."

Lees meer artikels over : twitter, bug, lek, onmouseover, javascript

bron: ZDNet