Googleは、Webブラウザがリッチコードを実行するインスタンスに関連するGmailの危険な脆弱性にパッチを適用しました, としても知られている “DOMクロバリング”.
バグは8月に会社に報告されました 2019 セキュリティの専門家による. 入手可能な情報は、これがAMP4Emailと呼ばれる動的メール読み込みエンジンの一部であることを示しています.
Googleによって修正されたGmailのバグ: “DOMクロバリング” サービスに対して使用されるエクスプロイト
最近、Gmailを取り巻く危険なバグについてのニュースが報じられました, Googleのメールサービス. 問題は、ダイナミックHTMLコンテンツの読み込みスクリプトにあります. これを担当するエンジンはと呼ばれます AMP4Email —メッセージの作成時にWebブラウザが動的要素と豊富なフォーマットをロードできるようにします.
AMP4Emailには、ホワイトリストのメカニズムを使用して、どのタイプのコンテンツをEメールコンポーザーに渡すことができるかを正確に有効にする強力なバリデーターが含まれているという事実から、セキュリティ上の問題が発生する可能性があります。. ユーザーが許可されていないHTML要素を挿入しようとすると、その要素は破棄され、エラーメッセージが表示されます。. ただし、セキュリティの問題が見つかりました, と呼ばれるレガシーウェブブラウザ機能のおかげで DOMクロバリング. 本質的に、これはページ内のJavaScriptオブジェクトを参照する古い方法です。.
AMP4Emailのセキュリティ分析は、ハッカーがクロスサイトスクリプティング攻撃を実行するためにコードフィールドを操作できることを示しています (XSS攻撃) 被害者のユーザーに多くの問題を引き起こす可能性があります. 主な懸念事項は、ウイルスやWebの脅威を運ぶ可能性のある無許可の悪意のあるオブジェクトの読み込みです。. Web電子メールメッセージは主要なメッセージングチャネルの1つであるため、マルウェアの発生源である可能性が非常に高くなります。. 一般的なものには、次のタイプが含まれます:
- 暗号通貨マイナー —これらの小さなサイズのスクリプトは、ハードウェアを大量に消費する複雑なタスクをロードし、コンピューターのパフォーマンスに大きな負担をかけます。. タスクの1つが完了したと報告されると、ハッカーはウォレットに直接配線された暗号通貨の形で収入を受け取ります.
- トロイの木馬コード —単純なWebスクリプトは、危険なトロイの木馬を被害者のマシンに配備し、ハッカーが感染したマシンの制御を引き継ぐことを可能にします。.
- フィッシングリダイレクト — URLを挿入するか、既存のURLを置き換えることにより、ハッカーは受信者を誘惑して偽のWebページを開くことができます。.
幸い、Googleはこの問題をタイムリーに解決し、セキュリティ研究者は会社の公式バグ報奨金プログラムを通じて報奨を受けています。. 詳細については、の詳細な説明を読むことができます 研究者のブログ.