Twitter von gefährlicher Sicherheitslücke betroffen

In Twitter steckte eine gefährliche Sicherheitslücke, die Angreifer bereits kurze Zeit nach der Entdeckung am Dienstag für Attacken ausnutzten. Die Lücke äußerte sich dadurch, dass Code ausgeführt wurde, sobald der Anwender mit dem Mauszeiger über einen getweeteten Link fuhr. Die Aktion wurde auch dann ausgeführt, wenn der Anwender gar nicht auf den Link klickte. Die Sicherheitslücke steckte also in Javascript-Funktion für "onmouseover".

Laut den Sicherheitsexperten von Sophos wurde die Sicherheitslücke zunächst von vielen Twitter-Anwendern für Späße ausgenutzt, um beispielsweise andere Anwender unerwartet auf andere Websites umzuleiten. Zu den Opfern gehörte Sarah Brown, die Ehefrau des ehemaligen britischen Premierministers. Auf ihrer Twitter-Seite, mit immerhin über 1 Million Followern, erschien ein Link, der die Anwender zu einer japanischen Porno-Website führte.

Kaspersky Lab warnte am frühen Nachmittag, dass die Lücke auch für gefährlichere Angriffe ausgenutzt werden könnte, ohne dass eine Interaktion des Anwenders notwendig sei. Ein entsprechender Wurm kursiere bereits. Um auf Nummer sicher zu gehen, sollten Anwender Javascript auf der Twitter-Seite ausschalten, bis Twitter das Problem behoben habe.

Das ist nunmehr geschehen: Twitter hat laut Del Harvey von Twitters Trust and Safety Team die Lücke XSS-Attack-Lücke komplett geschlossen. (PC-Welt/cvi)