Es gibt mehrere Möglichkeiten, eine Zero-Day-Lücke zu entdecken und zu publizieren. Der Security-Twitterer SwiftonSecurity hat eine neue gefunden: Man publiziert sie auf Twitter, ohne es zu merken.

Der harmlos wirkende erste Tweet- "Me: Threat-hunting rare DNS lookups in a corporate network. Confluence: verlinkte auf eine Google-Resultatseite mit einem verräterischen Link zum Confluence-Hersteller Atlassian.

Der Tweet und der Link weckten das Interesse des Google-Security-Forschers Travis Ormandy. Dieser fragte mit einem breiten Grinsen: "Hast du gemerkt, dass du soeben einen Zero-Day auf Twitter getan hast?" Worauf sich ein Sturm zusammenzubrauen begann, als SwiftonSecurity mit seinen 295'000 Followern zurückfragte: "Oh, echt jetzt?"

Der "Entdecker" erntete zum einen viel Spott, auch nachdem er die Lücke Atlassian gemeldet und sich für die gute Zusammenarbeit bedankt hatte. Zum andern machten sich die Security-Experten daran, Ormandys Aussage zu verifizieren und konnten dies auch.

Dies wiederum bringt Atlassian und Confluence-Kunden in Bedrängnis. Die Zeitung 'The Register', welche den Twitter-Sturm zuerst entdeckte, gelangte für Informationen an den Hersteller. Dieser erwiderte, man arbeite an der Lösung.

Die Lücke betrifft Zertifikate im Kontext der Atlassian Companion App, und hat inzwischen die Nummer CVE-2019-15006 erhalten. 'The Register' hat die Fakten zusammengefasst offenbaren. Oder, wie ein Security-Forscher belehrte: "Die besten Lücken findet man in den Dokumentationen. Und manchmal eine Lösung zur Schliessung." (mag)