Erneut macht der Micro-Blogging-Dienst durch Sicherheitsbelange von sich reden. Sicherheitsexperten haben eine Cross-Site-Scripting-Lücke in Twitter entdeckt und auch gleich einen Proof Of Concept veröffentlicht.

Lance James und Eric Wastl von Secure Sciences warnen vor einem Cross-Site-Scripting-Leck (XSS) in Twitter. Demnach soll es Angreifern möglich sein, über die Lücke Schadcode einzuschleusen und auszuführen. Nötig ist hierfür nur ein Klick auf eine mit Twitter versendete Kurz-URL – meist kommt TinyURL zum Einsatz.

Erst letzte Woche wurde bekannt, dass 750 Twitter-Accounts gehackt und zur Versendung von Spam missbraucht worden sind. »Das Leck ist noch vorhanden«, erklärt Eric Wastl gegenüber Informationweek. Zum Nachweis haben die Sicherheitsforscher einen Proof-Of-Concept veröffentlicht. »Wir stellen einen Link zur Verfügung, und wenn ein Twitter-Anwender darauf klickt, können wir seinen Twitter-Account übernehmen.«

Allerdings lassen James und Wastl den Twitter-Anwendern die Wahl, denn der Proof Of Concept dient nur Testzwecken: »Wollen Sie infiziert werden?«, wird man beim Aufruf der URL gefragt. Erst bei einer Bestätigung durch Klick auf »Yes« ist der eigene Twitter-Account bei dem Dienst als infiziert gelistet. Die Betreiber von Twitter sollen bereits über das Leck informiert worden sein, haben sich jedoch noch nicht dazu geäußert

Quelle: Tom's Hardware DE