- Ранее эксперты Check Point обнаружили уязвимость в процессорах Qualcomm Secure Execution Environment, позволяющую похищать защищенные данные с Android-устройств.
Об этом в своем блоге сообщил специалист по информационной безопасности Михал Бентковски.
AMP4Email (также известный как динамическая почта) – это новая функция Gmail, которая позволяет электронным письмам включать динамический HTML-контент.
С помощью динамической электронной почты пользователь может легко выполнять действия непосредственно из самого сообщения, например, заполнять анкету, просматривать каталог или отвечать на комментарии.
Однако Бентковски нашел в этой функции возможность проведения XSS-атак. Хотя в AMP4Email есть защита от таких проблем, он сумел обойти ее при помощи унаследованной функции DOM Clobbering.
“DOM Clobbering – это устаревшая функция веб-браузеров, которая продолжает вызывать проблемы во многих приложениях“, – пояснил он.
Исследователь показал, как злоумышленник может добавить вредоносный код в электронное письмо посредством AMP4Email. 15 августа он уведомил об этом Google, за что заработал 5000 долларов. 12 октября уязвимость была устранена.