Tweetdecks Clusterfuckup - die Scripting-Luecke

Heute gibt es wieder mal eine besonders witzige Luecke: Von Tweetdeck wird alles geparsed, solange nur ein Emoji-Unicode-Zeichen enthalten ist, was in ein Bild umgewandelt wird.

Und mit alles meine ich ALLES. HTML-Tags und darunter besonder das script-Tag.

img

Momentan geht bei einigen Tweetdeck gar nicht mehr. Grund dafuer: Statt nur ein kleines Alert-Window aufgehen zu lassen, fanden es einige scheinbar witzig, Tweetdeck mit Endlosschleifen und aehnlichen JavaScript-DOS-Methoden in die Knie zu zwingen.

Das ist aber auch besser so - lieber ein Tweetdeck, welches gar nicht funktioniert, als ein Tweetdeck, was durch einen Tweet deinen Account hijackt.

Also: Erstmal Finger weg von Tweetdeck, bis es offiziell eine Entwarnung gibt. Das normale Webtwitter hat dieses "Feature" nicht und kann entsprechend genutzt werden.

EDIT: Scheinbar der erste, der die Luecke gefunden hat, war uebrigens firoxl.

EDIT2: Tweetdeck hat offensichtlich mittlerweile alle User ausgeloggt.

EDIT3: rahmenhandlung hat mir gerade noch einen Link zu einem schoenen Wurm zukommen lassen, der diese Luecke ausnutzt und sich gleich noch weiterverbreitet.






Proudly powered by Microsoft IIS, Visual Basic .NET and DHTML. NOT.
Copyright © MKzero 2013
License Info