Gestern hat es wohl Twitter getroffen – ein Wurm hat eine Cross-Site-Scripting-Lücke (XSS) genutzt, um unter tausenden von Twitter-Konten Tweets mit eigenen Nachrichten zu verbreiten.
Laut arstechnica.com waren 84.700 Benutzer von diesem Angriff betroffen. Der Wurm twitterte dann diese Textnachricht, die der Benutzer @derGeruhn gepostet hatte. Der Ursprungs-Tweet enthielt JavaScript, das bei allen Benutzerkonten, die zu dieser Zeit über TweetDeck bei Twitter angemeldet waren, ausgeführt wurde und den Code als Re-Tweet verbreitete. Alleine der BBC-News Twitter-Kanal jagte die Meldung dann an über 1 Million Follower raus.
Das war der erste Wurm-Angriff auf Twitter bzw. den TweetDeck-Client. Der Code des Wurms basierte auf einem Clickjacking Exploit und einem XSS-Angriff, Techniken, die bereits 2009 dokumentiert und 2011 zum Versenden von Nachrichten genutzt wurden. Aktuell lag es an einem Bug in TweetDeck, so dass der JavaScript-Code nicht korrekt ausgefiltert wurde und zur Verbreitung der Tweets benutzt werden konnte. Der Vorfall unterstreicht, wie anfällig viele Webanwendungen gegen XSS-Angriffe sind.