Google ha parcheado una vulnerabilidad peligrosa en Gmail que está relacionado con un caso en que los navegadores web ejecutar código rica, también conocido como “DOM clobbering”.
El error se informó a la compañía en agosto 2019 por un experto en seguridad. La información disponible muestra que esto es parte del motor de carga electrónico dinámica llamada AMP4Email.
Gmail Bug fijado por Google: “DOM clobbering” Vulnerabilidad utilizada contra el Servicio
Recientemente se supo la noticia acerca de un error peligroso que rodea Gmail, servicio de correo electrónico de Google. Las mentiras problema dentro de los guiones de carga de contenido HTML dinámico. El motor que se encarga de esto se llama AMP4Email - permite que los navegadores web a elementos dinámicos de carga y formato enriquecido cuando los mensajes se están compuestas.
posibles problemas de seguridad surgen del hecho de que el AMP4Email contiene una fuerte validador que utiliza el mecanismo de una lista blanca para habilitar exactamente qué tipo de contenido se puede pasar al compositor de correo electrónico. Si los intentos a los usuarios insertar un elemento HTML no autorizada será desechado y se mostrará un mensaje de error. Sin embargo se ha encontrado un problema de seguridad, gracias a una función heredada navegador web llamado DOM clobbering. En esencia se trata de una vieja manera de hacer referencia a objetos JavaScript dentro de una página.
El análisis de la seguridad de espectáculos AMP4Email que los hackers pueden manipular los campos de código con el fin de llevar a cabo un ataque de cross-site scripting (ataque XSS) que puede conducir a muchos problemas para los usuarios de las víctimas. La principal preocupación es la carga de objetos no autorizados y maliciosos que pueden llevar a los virus y las amenazas Web. Como mensajes de correo electrónico web son uno de los canales de mensajería primarias que son una fuente muy probable de malware. Las más comunes pueden incluir los siguientes tipos:
- Los mineros criptomoneda - Estos scripts de pequeño tamaño se carga un complejo de tareas intensivas en hardware que situará a una pesada carga sobre el rendimiento de los ordenadores. Cuando una de las tareas se indica como completado los piratas informáticos recibirán ingresos en forma de criptomoneda directamente conectada a sus carteras.
- Código de Troya - scripts web simples pueden desplegar un peligroso troyano en los ordenadores de los usuarios que permitirá a los hackers tomar el control de las máquinas infectadas.
- phishing redirecciones - Mediante la inserción de URL o sustitución de los existentes los hackers pueden atraer a los destinatarios para que la apertura de páginas web falsos.
Afortunadamente Google han resuelto el problema de una manera oportuna y el investigador de seguridad ha sido premiado a través del programa de recompensas de errores oficial de la compañía. Para más información se puede leer la explicación detallada en el Blog del investigador.