Google corrigiu uma vulnerabilidade perigosa no Gmail que está relacionado com um caso em que os navegadores web executar código rico, também conhecido como “DOM clobbering”.
O bug foi relatado para a empresa em agosto 2019 por um especialista em segurança. As informações disponíveis mostram que isso é parte do motor de carregamento de correio dinâmico chamado AMP4Email.
Gmail Bug fixo por Google: “DOM clobbering” Exploit utilizado contra o serviço
Recentemente surgiram notícias sobre um bug perigoso circundante Gmail, serviço de e-mail do Google. As mentiras problema dentro do script de carregamento de conteúdo HTML dinâmico. O motor que é responsável por isso é chamado AMP4Email - permite que os navegadores da Web para elementos de carga dinâmicas e formatação rica quando as mensagens estão sendo composta.
questões de segurança possíveis surgem do fato de que o AMP4Email contém uma forte validador que usa o mecanismo de uma lista branca para permitir exatamente que tipo de conteúdo pode ser passado para o compositor e-mail. Se as tentativas de usuários para inserir um elemento HTML não autorizado será descartado e uma mensagem de erro será exibida. No entanto, um problema de segurança foi encontrado, Graças a um recurso do navegador web legado chamado DOM clobbering. Em essência, isto é uma velha maneira de fazer referência a objetos JavaScript dentro de uma página.
A análise de segurança mostra AMP4Email que hackers podem manipular os campos de código, a fim de realizar um ataque de script local (ataque XSS) que pode levar a muitos problemas para os usuários vítima. A principal preocupação é o carregamento de objectos não autorizados e maliciosos que podem carregar vírus e ameaças web. Como mensagens de e-mail da web são um dos canais de mensagens principais são uma fonte muito provável de malware. As mais comuns podem incluir os seguintes tipos:
- Mineiros criptomoeda - Esses scripts de pequeno porte irá carregar um complexo de tarefas de hardware intensivo que vai colocar um pesado tributo sobre o desempenho dos computadores. Quando uma das tarefas é relatado como concluído os hackers vão receber rendimentos na forma de criptomoeda diretamente conectado em suas carteiras.
- Código Trojan - scripts web simples podem implantar um Trojan perigoso para as máquinas das vítimas que permitirá que os hackers para assumir o controle das máquinas infectadas.
- phishing Redirects - Através da inserção de URLs ou substituir as existentes os hackers podem atrair nos receptores para abrir páginas web falsas.
Felizmente Google resolveu o problema em tempo hábil e o pesquisador de segurança foi recompensado através do programa oficial da empresa bug de recompensas. Para mais informações você pode ler a explicação detalhada no blogue do pesquisador.