Google Patches Severe Gmail "DOM Clobbering" Bug de segurança
CYBER NEWS

Google Patches grave Gmail “DOM clobbering” Bug de segurança

Google corrigiu uma vulnerabilidade perigosa no Gmail que está relacionado com um caso em que os navegadores web executar código rico, também conhecido como “DOM clobbering”.




O bug foi relatado para a empresa em agosto 2019 por um especialista em segurança. As informações disponíveis mostram que isso é parte do motor de carregamento de correio dinâmico chamado AMP4Email.

Gmail Bug fixo por Google: “DOM clobbering” Exploit utilizado contra o serviço

Recentemente surgiram notícias sobre um bug perigoso circundante Gmail, serviço de e-mail do Google. As mentiras problema dentro do script de carregamento de conteúdo HTML dinâmico. O motor que é responsável por isso é chamado AMP4Email - permite que os navegadores da Web para elementos de carga dinâmicas e formatação rica quando as mensagens estão sendo composta.

relacionado: Híbrido em curso ataques de phishing soluções podem ignorar a segurança

questões de segurança possíveis surgem do fato de que o AMP4Email contém uma forte validador que usa o mecanismo de uma lista branca para permitir exatamente que tipo de conteúdo pode ser passado para o compositor e-mail. Se as tentativas de usuários para inserir um elemento HTML não autorizado será descartado e uma mensagem de erro será exibida. No entanto, um problema de segurança foi encontrado, Graças a um recurso do navegador web legado chamado DOM clobbering. Em essência, isto é uma velha maneira de fazer referência a objetos JavaScript dentro de uma página.

A análise de segurança mostra AMP4Email que hackers podem manipular os campos de código, a fim de realizar um ataque de script local (ataque XSS) que pode levar a muitos problemas para os usuários vítima. A principal preocupação é o carregamento de objectos não autorizados e maliciosos que podem carregar vírus e ameaças web. Como mensagens de e-mail da web são um dos canais de mensagens principais são uma fonte muito provável de malware. As mais comuns podem incluir os seguintes tipos:

  • Mineiros criptomoeda - Esses scripts de pequeno porte irá carregar um complexo de tarefas de hardware intensivo que vai colocar um pesado tributo sobre o desempenho dos computadores. Quando uma das tarefas é relatado como concluído os hackers vão receber rendimentos na forma de criptomoeda diretamente conectado em suas carteiras.
  • Código Trojan - scripts web simples podem implantar um Trojan perigoso para as máquinas das vítimas que permitirá que os hackers para assumir o controle das máquinas infectadas.
  • phishing Redirects - Através da inserção de URLs ou substituir as existentes os hackers podem atrair nos receptores para abrir páginas web falsas.

Felizmente Google resolveu o problema em tempo hábil e o pesquisador de segurança foi recompensado através do programa oficial da empresa bug de recompensas. Para mais informações você pode ler a explicação detalhada no blogue do pesquisador.

Avatar

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts - Local na rede Internet

Me siga:
TwitterGoogle Plus

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...