Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Twitter wist al maanden van JavaScript-gat

Door: sander-van-der-meijs | 22 september 2010 12:23

Apps & Software

Het gat in de Twitter-website waar gister een heel bataljon wormen doorheen kwam, was in augustus al gefixt. Het lek is per ongeluk opnieuw geïntroduceerd.

De problemen op Twitter van gisteren zijn veroorzaakt door meerdere wormen. Die doken allemaal op de cross-site scripting (xss) kwetsbaarheid in de ‘onmouseover’-functie van Twitter, meldt beveiligingsbedrijf FSecure. Gebruikers hoefden niet eens te klikken op een link, het was al voldoende dat ze met hun muispijl over de kwaadaardige tweets gingen. Die berichten met malafide code werden dan direct geretweet.

Freelance webontwikkelaar Espen Antonsen heeft het misbruik van dit css-gat al vroeg gemeld. Hij zegt dat de eerste wormen slechts proof-of-concepts waren en dat daarna nieuwe versies met meer kwaadaardige bedoelingen op het toneel verschenen. Die serieuzere wormen stuurden de pc's van slachtoffers naar websites met malware die dan weer voor verdere besmetting zorgden.

Opnieuw geïntroduceerd

De Britse krant The Guardian meldt dat de kwetsbaarheid is ontdekt door de Japanse ontwikkelaar Masato Kinugawa. Die heeft de fout op 14 augustus al aan Twitter gemeld. Het hoofd van beveiliging bij die microblogdienst bevestigt dit in een blogpost, waarin hij het incident uitlegt. Hij zegt dat de bug na die melding is gedicht, maar dat het lek er bij een volgende update weer in is geslopen. De fix is per ongeluk terug gerold.

Kinugawa heeft 'zijn bug' op 14 september opnieuw ontdekt toen de geheel vernieuwde website van Twitter is gelanceerd. Gistermiddag Japanse tijd heeft hij vervolgens een Twitteraccount aangemaakt met de naam ‘Rainbow Twtr’, en heeft hij zijn realtief onschuldige proof-of-concept losgelaten. Daarmee liet hij zien dat je door deze xss-kwetsbaarheid tweets andere kleuren kon geven. De proof-of-concept code kwam online toen het aan de westkust van de VS, waar Twitter is gebaseerd, nacht was en niemand op zulke incidenten lette.

Exponentiële verspreiding

Terwijl de beveiligers van Twitter sliepen, werd de kwetsbaarheid snel opgepakt door anderen. De eerste die het gebruikte, was webontwikkelaar Magnus Holm. Hij kwam op het idee om de code uit te breiden zodat de tweet automatisch geretweet werd door de mousover-functie.

Eerst dacht hij dat het niet goed ging, “meh, this worm doesn’t really scale. The users can just delete the tweet :(”, twitterde hij. Vervolgens bleek dat de worm zich razendsnel verspreidde. "holy shit. I think this is exponential: "3381 more results since you started searching."", was zijn volgende boodschap. Daarna: “This is scary”.

Daarna doken er wormen op Twitter die mensen doorstuurden naar een Russische site, en andere die mensen lastig vielen met Japanse porno. Weer een andere worm veranderde de hele Twitter-pagina in een link.

Bron: Webwereld.nl

0 Reacties op: Twitter wist al maanden van JavaScript-gat

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.