Google har lappet en farlig sårbarhed i Gmail, som er relateret til et tilfælde, hvor webbrowsere eksekvere rige kode, også kendt som “DOM clobbering”.
Fejlen blev rapporteret til selskabet i august 2019 ved en sikkerhedsekspert. De tilgængelige oplysninger viser, at dette er en del af den dynamiske post lastning motor kaldet AMP4Email.
Gmail fejl rettet af Google: “DOM clobbering” Udnytte brugt imod Tjenesten
For nylig nyheden brød om en farlig fejl omgivende Gmail, Googles e-mail-tjeneste. Problemet ligger inden for de dynamiske HTML-indhold lastning scripts. Motoren, der er ansvarlig for dette kaldes AMP4Email - det gør det muligt for web-browsere til belastning dynamiske elementer og rig formatering når meddelelserne er sammensat.
Mulige sikkerhedsproblemer skyldes det faktum, at AMP4Email indeholder en stærk validator, der anvender mekanismen i en whitelist at muliggøre præcis, hvilken type indhold kan sendes til e-mail-komponist. Hvis brugerne forsøger at indsætte en uautoriseret HTML-element, vil blive kasseret, og en fejlmeddelelse vil blive vist. Men et sikkerhedsproblem blev fundet, takket være en arv webbrowser funktion, der hedder DOM clobbering. I det væsentlige dette er en gammel måde at indrykke til JavaScript objekter på en side.
Sikkerheden analyse af AMP4Email viser, at hackere kan manipulere koden felter for at gennemføre en cross-site scripting angreb (XSS angreb) der kan føre til mange problemer for ofret brugere. Den største bekymring er lastning af uautoriserede og skadelige objekter, der kan bære virus og webtrusler. Som web e-mails er en af de primære messaging kanaler, de er en meget sandsynlig kilde til malware. Almindelige dem kan omfatte følgende typer:
- Cryptocurrency minearbejdere - Disse små-size scripts vil indlæse en kompleks hardware-intensive opgaver, som vil placere en tung vejafgift på udførelsen af computerne. Når en af de opgaver, der er rapporteret som afsluttet hackere vil modtage indtægter i form af cryptocurrency direkte kabling i deres tegnebøger.
- Trojan kode - Simple web-scripts kan implementere en farlig trojansk onto offer maskiner, som vil gøre det muligt for hackere at overtage kontrollen over de inficerede maskiner.
- Phishing omdirigeringer - Ved at indsætte URL'er eller som erstatning for eksisterende hackere kan lokke i modtagerne til at åbne op falske websider.
Heldigvis Google har løst problemet i tide, og den sikkerhed forskeren har belønnet via virksomhedens officielle bug bounty program. For yderligere information kan du læse den detaljerede forklaring i blog af forskeren.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: