De bug werd uitgebuit door een javascript-code in een tweet uit te voeren. Tweets in Tweetdeck worden in normale html uitgevoerd, waardoor een javascript-exploit goed mogelijk is.
xss-bug
De tweet waar het mee begon komt van een Duitse twitteraar, die een tweet schreef die automatisch zou worden geretweet als een gebruiker 'em voorbij zag komen.
<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥
— *andy (@derGeruhn) June 11, 2014
Het bericht is op dit moment al meer dan 82,000 keer geretweet.
Offline
De bug zit sowieso in de webversie van Tweetdeck, en ook de Windows-versie werd getroffen. Daardoor besloot Twitter gisteravond de applicatie offline te halen. Gebruikers konden niet meer inloggen en moesten andere apps gebruiken, of de homepage van Twitter zelf.
Patch
Inmiddels is het lek gerepareerd. Twitter heeft een patch uitgebracht die ervoor zorgt dat het probleem heeft opgelost. Gebruikers moeten nog wel uit- en weer inloggen op de site en hun browsercache legen om te voorkomen dat de oude code nog ingeladen is.