Twitter : le client TweetDeck victime d'une vulnérabilité XSS

01 juin 2018 à 15h36
0
Le client TweetDeck a connu quelques ratés mercredi en raison d'une vulnérabilité de type cross-site scripting (XSS). Il a momentanément été désactivé par Twitter.

Depuis mercredi après-midi, un certain nombre d'utilisateurs du client TweetDeck ont retweeté des messages sans s'en rendre compte, quand ils n'ont pas posté à leur insu des messages à caractère pseudo-humoristiques. Cause de ces actions non sollicitées ? Une vulnérabilité de type cross-site scripting (XSS) affectant certaines versions de TweetDeck.

Lorsqu'un message contenant du code JavaScript est posté sur Twitter, celui-ci apparaît normalement comme du texte et n'entraîne aucune action particulière au niveau du navigateur ou du client logiciel de l'internaute. Ici, certaines versions de TweetDeck (l'extension dédiée au navigateur Chrome serait notamment incriminée) interprètent le code au lieu de simplement l'afficher, et déclenchent ainsi sans attendre une action : retweet ou publication d'un message dans les cas constatés.

Twitter (propriétaire de TweetDeck) a rapidement reconnu l'existence d'un problème. Dans un premier temps, la firme a conseillé aux utilisateurs de simplement se déconnecter puis se reconnecter à leur compte, mais la manoeuvre ne s'est pas révélée suffisante pour les internautes concernés.



Trente minutes plus tard, le réseau social a finalement indiqué qu'il suspendait son client le temps de bloquer ce comportement non sollicité.


On ne sait pas encore dans quelle mesure l'exploitation de cette vulnérabilité peut permettre l'accès à des données personnelles (adresse email du compte par exemple) mais ne serait-ce que pour éviter de reproduire à leur insu des messages non désirés, les adeptes de TweetDeck ont tout intérêt à se déconnecter du client.

Mise à jour : peu avant 20 heures, Twitter a annoncé le rétablissement du service.


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Infos US de la nuit : Expedia acceptera les bitcoins, l’app Google Glass actualisée pour la Coupe du Monde 2014.
Le réseau communautaire Pinterest s'invite officiellement sur Windows Phone
Roccat Sova, un duo clavier tapis de souris pour jouer sur son canapé
Razer propose aux fabricants de boîtiers PC sa marque sous licence
Vol d'informations : un ancien employé de Microsoft aurait écopé de trois mois de prison
Bouygues Telecom sur le point de porter sa fibre optique à 400 Mb/s
Pour Neelie Kroes, les taxis ne pourront pas éviter le virage du numérique
BlackBerry envisage de concevoir une phablette
Bouygues Telecom va supprimer 1516 emplois
OnePlus One : le smartphone sous CyanogenMod retardé
Haut de page