Google устранила XSS-уязвимость в Gmail, связанную с динамическими сообщениями

Компания Google устранила XSS-уязвимость в Gmail, которая была связана с динамическими сообщениями.

Четверг, 21 ноября 2019, 15:13

Об этом в своем блоге сообщил специалист по информационной безопасности Михал Бентковски.

AMP4Email (также известный как динамическая почта) – это новая функция Gmail, которая позволяет электронным письмам включать динамический HTML-контент.

С помощью динамической электронной почты пользователь может легко выполнять действия непосредственно из самого сообщения, например, заполнять анкету, просматривать каталог или отвечать на комментарии.

Однако Бентковски нашел в этой функции возможность проведения XSS-атак. Хотя в AMP4Email есть защита от таких проблем, он сумел обойти ее при помощи унаследованной функции DOM Clobbering.

“DOM Clobbering – это устаревшая функция веб-браузеров, которая продолжает вызывать проблемы во многих приложениях“, – пояснил он.

Исследователь показал, как злоумышленник может добавить вредоносный код в электронное письмо посредством AMP4Email. 15 августа он уведомил об этом Google, за что заработал 5000 долларов. 12 октября уязвимость была устранена.

  • Ранее эксперты Check Point обнаружили уязвимость в процессорах Qualcomm Secure Execution Environment, позволяющую похищать защищенные данные с Android-устройств.
Теги: Gmail

Подписывайтесь на #Буквы в Telegram и Facebook и читайте самые важные и свежие новости первыми!