Google heeft een gevaarlijke kwetsbaarheid in Gmail die gerelateerd is aan een geval waarin webbrowsers uitvoeren rijk code gepatcht, ook gekend als “DOM beuken”.
De bug werd gemeld aan het bedrijf in augustus 2019 door een beveiligingsexpert. Uit de beschikbare informatie blijkt dat dit deel uitmaakt van de dynamische mail laden engine genaamd AMP4Email.
Gmail Bug opgelost door Google: “DOM beuken” Exploit gebruikt tegen de Dienst
Recent nieuws brak over een gevaarlijke bug omliggende Gmail, Google's e-mailservice. Het probleem ligt in het dynamische HTML-inhoud laden scripts. De motor die verantwoordelijk is voor dit heet AMP4Email - het laat de webbrowsers te laden dynamische elementen en opmaak wanneer de berichten worden samengesteld.
Mogelijke beveiligingsproblemen ontstaan uit het feit dat de AMP4Email bevat een sterk validator die het mechanisme van een whitelist in staat te stellen precies wat voor soort inhoud kan worden doorgegeven aan de e-mailprogramma gebruikt. als de gebruikers probeert om een ongeautoriseerde HTML-element plaatst het zal worden verwijderd en wordt er een foutmelding weergegeven. Echter een beveiligingsprobleem werd gevonden, dankzij een legaat webbrowser functie genaamd DOM beuken. In essentie is dit een oude manier van verwijzingen naar JavaScript binnen een pagina bezwaar.
De veiligheidsanalyse van AMP4Email blijkt dat hackers de code velden teneinde een cross-site scripting aanslag te plegen kunnen manipuleren (XSS-aanval) die kunnen leiden tot veel problemen voor het slachtoffer gebruikers. De belangrijkste zorg is het laden van ongeautoriseerde en schadelijke objecten die virussen en webbedreigingen kan dragen. Als web-e-mailberichten zijn een van de belangrijkste messaging-kanalen ze een zeer waarschijnlijke bron van malware. Algemeen bekend kunnen de volgende types:
- cryptogeld Mijnwerkers - Deze kleine formaat scripts zal een complexe hardware-intensieve taken die een zware tol zal leggen op de prestaties van de computers te laden. Wanneer een van de taken wordt gerapporteerd als voltooid de hackers zullen inkomsten ontvangen in de vorm van cryptogeld direct bedraad in hun portemonnee.
- Trojan Code - Eenvoudige web scripts kan een gevaarlijke Trojan op het slachtoffer machines waarmee de hackers de controle over de geïnfecteerde computers over te nemen implementeren.
- phishing Omleidingen - Door het invoegen van URL's of het vervangen van bestaande de hackers kunnen lokken in de ontvangers in de openstelling van nep webpagina's.
Gelukkig is Google hebben het probleem tijdig opgelost en de security-onderzoeker is beloond via het bedrijf de officiële bug bounty programma. Voor meer informatie kunt u de gedetailleerde uitleg in het lezen blog van de onderzoeker.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: