Про це в своєму блозі повідомив фахівець з інформаційної безпеки Міхал Бентковський.

AMP4Email (також відомий як динамічна пошта) – це нова функція Gmail, яка дозволяє до електронних листів включати динамічний HTML-контент.

За допомогою динамічної електронної пошти користувач може легко виконувати дії безпосередньо з самого повідомлення, наприклад, заповнювати анкету, переглядати каталог або відповідати на коментарі.

Однак Бентковський знайшов в цій функції можливість проведення XSS-атак. Хоча в AMP4Email є захист від таких проблем, він зумів обійти його за допомогою успадкованої функції DOM Clobbering.

“DOM Clobbering – це застаріла функція веб-браузерів, яка продовжує викликати проблеми в багатьох додатках”, – пояснив він.

Дослідник показав, як зловмисник може додавати зловмисний код в електронний лист за допомогою AMP4Email. 15 серпня він повідомив про це Google, за що заробив 5000 доларів. 12 жовтня вразливість була усунута.

  • Раніше експерти Check Point виявили уразливість в процесорах Qualcomm Secure Execution Environment, що дозволяє викрадати захищені дані з Android-пристроїв.