Google a corrigé une vulnérabilité dangereuse dans Gmail qui est lié à une instance dans laquelle les navigateurs web d'exécuter du code riche, également connu sous le nom “DOM clobbering”.
Le bug a été signalé à l'entreprise en Août 2019 par un expert en sécurité. Les émissions d'information disponibles que cela fait partie du moteur de chargement de courrier dynamique appelé AMP4Email.
Correction d'un bug Gmail par Google: “DOM clobbering” Exploit utilisé contre le service
Récemment nouvelles ont éclaté au sujet d'un bug dangereux entourant Gmail, Le service de messagerie de Google. Le problème réside dans les scripts de chargement de contenu HTML dynamique. Le moteur qui est responsable de ce qu'on appelle AMP4Email - il permet aux navigateurs web à des éléments dynamiques de la charge et la mise en forme riche lorsque les messages sont composés.
Possibles problèmes de sécurité se posent du fait que le AMP4Email contient une forte validateur qui utilise le mécanisme d'une liste blanche pour permettre exactement quel type de contenu peut être transmis au compositeur email. si les utilisateurs tente d'insérer un élément HTML non autorisé, il sera éliminé et un message d'erreur sera affiché. Toutefois, un problème de sécurité a été trouvé, grâce à une fonctionnalité de navigateur Web appelé héritage DOM clobbering. En substance, cela est une ancienne de référencement aux objets JavaScript dans une page.
L'analyse de la sécurité des spectacles AMP4Email que les pirates peuvent manipuler les champs de code afin d'effectuer une attaque de scriptage intersite (attaque XSS) qui peut conduire à de nombreux problèmes pour les utilisateurs des victimes. La principale préoccupation est le chargement d'objets non autorisés et malveillants qui peuvent contenir des virus et des menaces Web. Comme les messages électroniques web sont l'un des principaux canaux de messagerie, ils sont une source très probable de logiciels malveillants. les communes peuvent inclure les types suivants:
- Mineurs crypto-monnaie - Ces scripts de petite taille se charge d'une des tâches complexes à forte intensité de matériel qui place un péage lourd sur les performances des ordinateurs. Lorsque l'une des tâches est indiquée comme terminée les pirates recevront un revenu sous forme de directement câblés dans crypto-monnaie leur porte-monnaie.
- code de cheval de Troie - scripts web simples peuvent déployer un cheval de Troie dangereux sur les machines victimes qui permettra aux pirates de prendre le contrôle des machines infectées.
- phishing Redirects - En insérant les URL ou le remplacement de ceux qui existent déjà les pirates peuvent attirer les destinataires à ouvrir des pages web faux.
Heureusement Google a résolu le problème en temps opportun et le chercheur de sécurité a été récompensé par le programme de primes bug officiel de l'entreprise. Pour plus d'informations, vous pouvez lire l'explication détaillée dans le blog du chercheur.