セキュリティ研究者は最近、マルウェア攻撃につながる可能性のあるGoogleドライブの脆弱性を発見して報告しました.
このバグにはパッチが適用されておらず、脅威の攻撃者が正当なドキュメントや画像になりすました悪意のあるファイルを拡散させる可能性があります. さらに遠く, これにより、攻撃者はかなりの実行を行うことができます 成功したスピアフィッシング攻撃.
Googleドライブの脆弱性はどこにありますか?
脆弱性を報告した人によると, A. ニコチ, システム管理者, 脆弱性はにあります “バージョンを管理する” 機能性. この機能により、ユーザーはファイルのさまざまなバージョンをアップロードおよび管理できます. 言い換えると, これにより、ユーザーは古いバージョンのファイルを同じファイル拡張子を持つ新しいバージョンに更新できます。. でも, この機能により、ユーザーはGoogleドライブ内の任意のファイルの任意のファイル拡張子を持つ新しいバージョンをアップロードすることもできます。. これには、悪意のある実行可能ファイルが含まれます, それも.
NikociはTheHackerNewsと連絡を取り、彼の発見をチームと共有しました. デモビデオは、ユーザーのグループとすでに共有されているファイルの正当なバージョンを明らかにします, 悪意のあるファイルに置き換えることができます. さらに, 悪意のあるファイルのアップロードは残ります “静けさ”, 変化の兆候がないため. でも, ダウンロードしたとき, このファイルはマルウェア攻撃に利用される可能性があります. これにより、クラウドサービスを利用して選択したターゲットにマルウェアを配信するスピアフィッシング脅威グループによって、この脆弱性が非常に悪用される可能性もあります。.
12月中 2019, Googleがパッチを当てた Gmailの危険な脆弱性 これは、Webブラウザがリッチコードを実行するインスタンスに関連していました, 「DOMClobbering」とも呼ばれます. この問題は、ダイナミックHTMLコンテンツの読み込みスクリプトに起因していました. これを担当するエンジンはAMP4Emailと呼ばれ、メッセージの作成時にWebブラウザが動的要素と豊富なフォーマットをロードできるようにします。.
この脆弱性は、AMP4Emailに、ホワイトリストのメカニズムを使用して電子メールコンポーザーに渡すことができる特定の種類のコンテンツを有効にする強力なバリデーターが含まれているという事実に起因していました。. ユーザーが許可されていないHTML要素を挿入しようとした場合, 破棄され、エラーメッセージが表示される可能性があります.
AMP4Emailのセキュリティ分析により、攻撃者がクロスサイトスクリプティング攻撃を実行するためにコードフィールドを操作できることが明らかになりました。 (XSS攻撃) マルウェアを運ぶ無許可の悪意のあるオブジェクトの読み込み.