De populaire Twitter-client TweetDeck blijkt een ernstige kwetsbaarheid te bevatten, die het mogelijk maakt om op afstand code uit te voeren. Twitter heeft na de bekendmaking direct een patch vrijgegeven, om problemen te voorkomen. Het uitvoeren van de meest recente update wordt dus met klem aangeraden.

TweetDeck is een programma dat tegenwoordig wordt uitgegeven door de microblogdienst Twitter. Gisteren werd onbedoeld bekendgemaakt dat het programma een kwetsbaarheid bevat in XSS-afhandeling waardoor op afstand de controle over een systeem kan worden overgenomen via JavaScript-code. De problemen zouden zich voordoen in de web-app, maar er zijn ook meldingen van misbruik van de Windows-client.

De kwetsbaarheid is eenvoudig te misbruiken door tweets met bepaalde code te versturen naar gebruikers die de client gebruiken. De daarop volgende ongewilde handelingen variëren van het automatisch retweeten van tweets tot het tonen van vensters met teksten zoals Never Gonna Give You Up van Rick Astley. Wel is het zo dat kwaadwillenden gelimiteerd bleven tot de normale permissies van TweetDeck, wat de mogelijkheden flink beperkt.

Als reactie haalde Twitter de service tijdelijk offline. Een eerste patch loste de problemen niet geheel op, met een tweede pleister moet dit alsnog het geval zijn. In een tweet biedt TweetDeck excuses aan voor de problemen.

Het probleem is vermoedelijk ontdekt door een tiener uit Oostenrijk die een tweet met HTML-code verstuurde. Normaliter zou dit soort code worden omgezet tot platte tekst, maar dat bleek niet het geval. Na de ontdekking werd TweetDeck publiekelijk op de hoogte gebracht, waardoor het probleem onbedoeld ook direct wereldkundig werd gemaakt. De twitteraar heeft naderhand excuses aangeboden voor deze onhandige aanpak.