Twitter hat gerade ein kleines Security-Problem mit einem Loch, das sich rasant verbreitet. Wer Twitter im Browser nutzt sollte bei Links in den Tweets aufpassen, die anscheinend auch ein „onmouseover“ im Text dabei haben. Da wird wohl eine Javascript-Lücke mit MouseOver ausgenutzt. Wer mit der Maus darüber geht, verschickt Tweets, die dann (zumindest bei mir im Client) so aussehen (und vermutlich im Browser als normale Links erscheinen):
http://t.co/@“onmouseover=“[Ausführbarer Code]
oder so:
http://a.no/@“onmouseover=“[Ausführbarer Code]
Hier finden sich erste Details. Nutzer von Twitter-Clients können sich entspannt zurücklehnen. Betroffen ist wohl nur die Browser-Variante.
(Update: Am Anfang war das wohl harmlos, mittlerweile wird auch Schadsoftware nachgeladen)
Nochmal Update: Neuerdings sieht man viele Tweets von Usern der Browser-Variante, wo nur „tbubbaloo“ als String drin steht.
Es wird offenbar auch schon Malware verbreitet – zumindest versuchen sie es.
Nutzt die Twitter-Suche Mal um nach getScript zu suchen – aber bitte nur bei ausgeschaltetem JavaScript.
Nicht ganz. Wenn man sich den eingegebenen Text ansieht, dann scheint es eher, dass Pfadangaben nicht maskiert werden.
Folglich lässt sich so Ausführbarer Code via Javascript nachladen. Viel schlimmer noch, es kann sogar weiterer Code anderer Domains nachgeladen und ausgeführt werden.
Das onmouseover genutzt wird, liegt daran, dass wenn ich meinen Status aktualisiere, die Maus über den Tweet liegt und so der Event ausgelöst wird. Folglich kann sich dieser auch automatisch verbreiten.
Solange die Links nicht maskiert werden, empfehle ich das neu laden der Tweets per F5.
Tweets, die hinter schwarzen Balken verschwinden, wenn möglich löschen, ohne auf den Balken zu kommen.
was kann denn passieren, wenn ich nun doch mit meiner maus da drauf gekommen bin? ich hab ja nun direkt nen RT erstellt.
hab mich jetzt bei twitter ausgeloggt und warte erstmal ab?
was genau passiert denn jetzt? sollte ich schnell noch alle meine daten speichern?
Ich nutze ausschließlich Clients (hauptsächlich Echofon), musste mich aber zwecks Administration heute auf der Seite einloggen. Da war natürlich ganz oben einer dieser Blank-Tweets und ich so ganz neugierig… :)
Naja, hab meinen Wurm-Tweet gelöscht und bin wieder glücklich mit meinem Client unterwegs.
maria: je nach Inhalt kann schon Schadcode auf Deinen Rechner gelangt sein. Und so lange Du den Tweet nicht löschst oder Twitter die Notbremse zieht, können auch Deine Follower betroffen sein.
torsten: danke für die antwort…kann ich denn dagegen irgendwas unternehmen? mein anti-viren-programm hat bisher noch nicht angeschlagen.
meinen tweet hab ich nun gelöscht…
maria: sorry, einen ultimativen Ratschlag kann ich da nicht geben.
Twitter scheint das Problem wohl behoben zu haben. Die Pfade werden jetzt maskiert.
@Nutzername: Unklar, Entwarnung würde ich och nicht geben, hier kommen immer noch Tweets an, die komisch aussehen.
Ich kriege ebenfalls immer wieder Tweets mit mouseover rein.
Das liegt am Plattformdesign.
Statusmitteilungen werden über die Zeit geladen, sind jedoch als „unsichtbar“ deklariert. Wenn man das Feld mit den neuen Tweets anklickt, werden diese geöffnet.
Kurz gesagt, wenn der Browser 2h lang offen ist und du 30 ungelesene Tweets hast, sind die bereits in deiner DOM enthalten.
Da diese Tweets jedoch Stunden alt sein können, kann es durchaus sein, dass Sie den Exploit noch beinhalten. Der Retweet wird jedenfalls Ordnungsgemäß maskiert.
Also Seite neu Laden und evt. neu einloggen. Den Exploit habe ich erstmalig gegen 10:00 gesehen.
Der http://twitter.com/RainbowTwtr hat dabei die Tweets mit schönen Farben unterlegt gehabt.
Gegen 15:30 wurde das Problem behoben. Also 5 1/2 Stunden, in der evt. Tweets mit Exploit geladen hätten werden können.
So sieht der Wrm auf dem Bildschirm aus (Video):
http://www.youtube.com/watch?v=yw-I0-6M7uU
Hey, ich bin über den von euch veröffentlichten Twitterlink zu dem Artikel gekommen.
Jetzt sagt mein NoScript:
Noscript hat einen möglichen Cross-Site-Scripting-Versuch von [http://netzpolitik.org] gefiltert. Techische Details wurden in der Konsole protokolliert.
In der Konsole find ich unter Fehler:
Fehler: netzpolitik is not defined
Quelldatei: javascript:%20netzpolitik
Zeile: 1
ca. 20 Mal
und unter Warnungen:
Warnung: Unbekannte Eigenschaft ‚-moz-transition‘. Deklaration ignoriert.
Quelldatei: http://s.ytimg.com/yt/cssbin/www-core-vfl_X8_3I.css
Zeile: 1
wobei der Link immer der selbe ist. Nur die Unbekannte Eigenschaft variiert.
Wäre ganz nett wenn mich da jemand evtl aufklären könnte..
bekomme gerande diese meldung von noscrips
[NoScript XSS] Sanitized suspicious request. Original URL [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20%22onmouseover%22%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript-L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20(zumindest%20bei%20mir%20im%20Client)%20so%20aussehen%20(und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen)%3A%20%20http%3A%2F%2Ft.co%2F%40%22onmouseover%3D%22while(42)%7Balert(%27MrJack%20got%20you%27)%3B%7D%22font-size%3A500pt%3B%2F%20%20oder%20so%3A%20%20http%3A%2F%2Fa.no%2F%40%22onmouseover%3D%22%3B%24(%27textarea%3Afirst%27).val(this.innerHTML)%3B%24(%27.status-update-form%27).submit()%22%20style%3D%22color%3A%23000%3Bbackground%3A%23000%3B%2F%20%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20(Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen)%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20%22tbubbaloo] requested from [http://www.netzpolitik.org/]. Sanitized URL: [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20ONMOUSEOVER%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript-L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20%20zumindest%20bei%20mir%20im%20Client%20%20so%20aussehen%20%20und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen%20%3A%20http%3A%2F%2Ft.co%2F%40%20ONMOUSEOVER%20%20while%2042%20%7BALERT%20%20MrJack%20got%20you%20%20%3B%7D%20font-size%3A500pt%3B%2F%20oder%20so%3A%20http%3A%2F%2Fa.no%2F%40%20ONMOUSEOVER%20%20%3B%24%20%20textarea%3Afirst%20%20.val%20this.INNERHTML%20%3B%24%20%20.status-update-form%20%20.submit%20%20%20style%20%20color%3A%23000%3Bbackground%3A%23000%3B%2F%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20tbubbaloo#13520886057997372348].
Dieselbe Meldung hab ich jetzt auch drinne.
Hier das Statement von Twitter:
http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html
Schade, dass man hier solche Beleidigungen loslassen kann.
Es gibt auch menschen die sich über Twitter nur informieren.
Schön das manche hier eine so großes Mitteilungsbedürfnis haben. Du solltest das twittern lol
versteh ich jetzt auch nicht unbedingt warum das jetzt gelöscht wurde..
@Tobi: Neue Trolls, die hier blöd rumpöbeln, brauchen wir nicht.
okay nach dem letzten Kommentar versteh ich dich..
Weißt du mittlerweile eigentlich was über XSS Sache?
@Tobi: Wir vermuten, dass es kurzfristig mit dem Flattr- oder Tweetme-Button zu tun hatte. Taucht die Meldung immer noch auf?
@Markus: Ja, scheint aber nur bei diesem Artikel hier zu sein.
@Volker: Liegt das dann vielleicht an den geposteten Tweets, die von der Software vll ausgelesen werden?
Hallo Markus.
NoScript stellt bei euch ein XSS-Versuch fest, immernoch. Ich denke, dass liegt am geposteten Artikel. Dieser scheint 1:1 an Flattr übertragen zu werden.
Im übertragenen Feld „description“ wird der Text unmaskiert übertragen. Noscript geht hier scheinbar davon aus, dass dieses Feld im Browser ausführbar ist.
Nun ist die Frage ob NoScript auf Muster oder Schlagwörter anspricht. Evt. reicht es, die Klammern und Anführungszeichen in Char-Code darzustellen. Ansonsten die Codefragmente gegen Pseudocode ersetzen, ähnlich
http://[Domain]/@„[ausführbarer Code]/
@Nutzername: Dnake, hab den Code mal hinter dem mouseover ersetzt.
Kriege die Leiste weiterhin angezeigt…