Twitter : le client TweetDeck victime d'une vulnérabilité XSS

Le client TweetDeck a connu quelques ratés mercredi en raison d'une vulnérabilité de type cross-site scripting (XSS). Il a momentanément été désactivé par Twitter.

Depuis mercredi après-midi, un certain nombre d'utilisateurs du client TweetDeck ont retweeté des messages sans s'en rendre compte, quand ils n'ont pas posté à leur insu des messages à caractère pseudo-humoristiques. Cause de ces actions non sollicitées ? Une vulnérabilité de type cross-site scripting (XSS) affectant certaines versions de TweetDeck.

Lorsqu'un message contenant du code JavaScript est posté sur Twitter, celui-ci apparaît normalement comme du texte et n'entraîne aucune action particulière au niveau du navigateur ou du client logiciel de l'internaute. Ici, certaines versions de TweetDeck (l'extension dédiée au navigateur Chrome serait notamment incriminée) interprètent le code au lieu de simplement l'afficher, et déclenchent ainsi sans attendre une action : retweet ou publication d'un message dans les cas constatés.

Twitter (propriétaire de TweetDeck) a rapidement reconnu l'existence d'un problème. Dans un premier temps, la firme a conseillé aux utilisateurs de simplement se déconnecter puis se reconnecter à leur compte, mais la manoeuvre ne s'est pas révélée suffisante pour les internautes concernés.



Trente minutes plus tard, le réseau social a finalement indiqué qu'il suspendait son client le temps de bloquer ce comportement non sollicité.


On ne sait pas encore dans quelle mesure l'exploitation de cette vulnérabilité peut permettre l'accès à des données personnelles (adresse email du compte par exemple) mais ne serait-ce que pour éviter de reproduire à leur insu des messages non désirés, les adeptes de TweetDeck ont tout intérêt à se déconnecter du client.

Mise à jour : peu avant 20 heures, Twitter a annoncé le rétablissement du service.


Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

AMD : les spécifications des Radeon 6600 et 6000 XT ont fuité !
Revolut partenaire d’Elliptic pour proposer le retrait et le transfert de Bitcoin (BTC)
Call of Duty: Warzone : plus de 500 000 joueurs ont été bannis depuis le lancement du jeu
Google I/O 2021 : qu'attendre de la conférence de ce mardi 18 mai ?
Poco X3 Pro : chute de prix impressionnante sur l'excellent smartphone Xiaomi
Twitch annonce une baisse mondiale des prix sur les abonnements aux chaînes
Amazon attaque en justice les SMS d'arnaques transmis en son nom
Essai DS9 E-Tense 225 : la plus luxueuse des françaises, future star des ministères
Le gouvernement dévoile sa stratégie nationale pour le cloud avec un label de confiance
Si vous cherchez un VPN rapide, NordVPN affiche une réduction de 65%
Haut de page