De officiële Twitter-client Tweetdeck is gisteravond getroffen door een serieus xss-bug. Daardoor konden kwaadwillenden automatisch tweets plaatsen of berichten laten retweeten. de bug is inmiddels gepatcht, maar zorgde er wel voor dat Twitter de app gisteren de hele avond tijdelijk offline haalde.
De bug werd uitgebuit door een javascript-code in een tweet uit te voeren. Tweets in Tweetdeck worden in normale html uitgevoerd, waardoor een javascript-exploit goed mogelijk is.
xss-bug
De tweet waar het mee begon komt van een Duitse twitteraar, die een tweet schreef die automatisch zou worden geretweet als een gebruiker 'em voorbij zag komen.
<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥
-
Het bericht is op dit moment al meer dan 82,000 keer geretweet.
Offline
De bug zit sowieso in de webversie van Tweetdeck, en ook de Windows-versie werd getroffen. Daardoor besloot Twitter gisteravond de applicatie offline te halen. Gebruikers konden niet meer inloggen en moesten andere apps gebruiken, of de homepage van Twitter zelf.
Patch
Inmiddels is het lek gerepareerd. Twitter heeft een patch uitgebracht die ervoor zorgt dat het probleem heeft opgelost. Gebruikers moeten nog wel uit- en weer inloggen op de site en hun browsercache legen om te voorkomen dat de oude code nog ingeladen is.