Google устранила XSS-уязвимость в Gmail, связанную с динамическими сообщениями

Об этом в своем блоге сообщил специалист по информационной безопасности Михал Бентковски.

AMP4Email (также известный как динамическая почта) – это новая функция Gmail, которая позволяет электронным письмам включать динамический HTML-контент.

С помощью динамической электронной почты пользователь может легко выполнять действия непосредственно из самого сообщения, например, заполнять анкету, просматривать каталог или отвечать на комментарии.

Однако Бентковски нашел в этой функции возможность проведения XSS-атак. Хотя в AMP4Email есть защита от таких проблем, он сумел обойти ее при помощи унаследованной функции DOM Clobbering.

“DOM Clobbering – это устаревшая функция веб-браузеров, которая продолжает вызывать проблемы во многих приложениях“, – пояснил он.

Исследователь показал, как злоумышленник может добавить вредоносный код в электронное письмо посредством AMP4Email. 15 августа он уведомил об этом Google, за что заработал 5000 долларов. 12 октября уязвимость была устранена.