Google hat eine gefährliche Sicherheitslücke in Google Mail gepatcht, die auf eine Instanz verwandt ist, in dem Web-Browser reichen Code ausführen, alias “DOM clobbering”.
Der Fehler wurde im August an die Firma berichtet 2019 von einem Sicherheitsexperten. Die verfügbaren Informationen zeigen, dass dieser Teil des dynamischen Mail Laden Motors genannt AMP4Email.
Gmail Bug behoben, durch Google: “DOM clobbering” Heldentat gegen den Service Gebraucht
Kürzlich brach Nachrichten über einen gefährlichen Fehler Gmail Umgebung, Google-E-Mail-Service. Das Problem liegt in der dynamischen HTML-Inhalte Lade Skripten. Der Motor, der dafür verantwortlich ist, heißt AMP4Email - es ermöglicht den Web-Browser zu laden dynamische Elemente und Rich-Formatierung, wenn die Nachrichten, die zusammengesetzt sind,.
Mögliche Sicherheitsprobleme aus der Tatsache ergeben, dass die AMP4Email eine starke Validator enthält, die den Mechanismus des einer nutzt die weiße Liste genau zu ermöglichen, was Art von Inhalt an den E-Mail-Komponisten weitergegeben werden kann. wenn die Benutzer versuchen, ein nicht autorisiertes HTML-Element einfügen wird sie verworfen und eine Fehlermeldung wird angezeigt. Allerdings wurde ein Sicherheitsproblem gefunden, dank einer Web-Browser-Funktion Legacy genannt DOM clobbering. Im Wesentlichen ist dies ein alter Weg, um JavaScript Referenzierung Objekte innerhalb einer Seite.
Die Sicherheitsanalyse von AMP4Email zeigt, dass Hacker die Codefelder, um einen Cross-Site-Scripting-Angriff durchzuführen manipulieren (XSS-Angriff) das kann für die Opfer Benutzer zu vielen Problemen führen. Das Hauptanliegen ist das Laden von nicht autorisierten und bösartigen Objekten, die Viren und Internet-Bedrohungen führen kann. Als Web-E-Mail-Nachrichten eine der wichtigsten Nachrichtenkanäle sind, sind sie eine sehr wahrscheinliche Quelle von Malware. Gewöhnlichsten können die folgenden Arten umfassen:
- Kryptowährung Miners - Dieses kleine Größe Skripte eine komplexe Hardware intensive Aufgaben laden, die einen hohen Tribut auf der Leistung der Computer stattfinden werden. Wenn eine der Aufgaben als abgeschlossen gemeldet wird, der Hacker der Erträge in Form von Kryptowährung erhält direkt in ihre Mappen verdrahtet.
- Trojan-Code - Einfache Web-Skripte können einen gefährlichen Trojaner auf die Opfer Maschinen einsetzen, die die Hacker die Kontrolle über den infizierten Computer ermöglicht, zu übernehmen,.
- Phishing Redirects - Durch URLs Einfügen oder Ersetzen bestehender der Hacker in dem Empfänger in der Öffnung gefälschte Webseiten locken kann.
Zum Glück hat Google das Problem in angemessener Zeit behoben und die Sicherheitsforscher haben über das Unternehmen offizieller Bug Bounty Programm belohnt. Für weitere Informationen können Sie die ausführliche Erklärung im gelesen Blog des Forschers.