Последняя Функция Gmail Приходит С Серьезными Рисками Безопасности

Google недавно выпустила в Gmail есть функция призвана сделать веб-опытом более динамичным. К сожалению, отчеты утверждают, что эта новая функция динамической поставляется со старой проблемой безопасности или уязвимости. Кроме того, главный исследователь безопасности Securitum Михал Bentkowski обнаружили уязвимость и сейчас рассматриваем возможность того, что эта новая функция может быть использована как возможность внедрить произвольный JavaScript-код.

Еще в Октября. 2015 компания Google объявила об ускоренных мобильных страниц проекта (АМПП) разработан в основном для повышения производительности мобильного интернета. В феврале 2016 года, первые веб-страницы доставлен всплыли пользователей. Компания Adobe сообщила, что издатели нас не видел семи-процентное увеличение в общем объеме перевозок на всех платформах из-за Гугл АМП в год его запуска.AMP4Email знакомит с интересным и динамическим контентом в партии в Gmail почтовый ящик. Он обещает динамичное взаимодействие в порядке, что мы все привыкли с помощью приложений смартфона, но в электронных переписок. Единственная проблема в том, что по данным Bentkowski, функция также принес возможность запуска кросс-сайт скриптинг атаки хакеров.

Latest Gmail Feature Comes With Serious Security Risks

В Gmail на Mac

Этот конкретный кросс-сайт скриптинг (XSS) уязвимость является повторяющимся и упрямый вопрос с точки зрения безопасного развития. Другими словами, уязвимость XSS в AMP4EMail компании Google позволяет злоумышленникам развернуть вредоносных скриптов внутри веб-приложения. Исследователь безопасности обнаружил уязвимость в реализации Google AMP4Email в Gmail, на которые он ссылается как крушить дом, также известный как реальной эксплуатации распространена проблема с браузером.

Объектная модель документа (DOM) удалив особенность веб-браузера наследие. Этот метод, вместо использования функции для ссылки в HTML-элементом из JavaScript, обращается к нему через свойство глобального объекта window. Крушить дом могут привести к интересным уязвимости, если приложение принимает решение на основе существования тех или иных глобальных переменных, объясняет Bentkowski. Это означает, что потенциальный злоумышленник может использовать вредоносный код в динамическом сообщение в Gmail, которые могли бы получить развернутые в браузере, когда получатель открыл, что конкретное письмо.

Поисковый гигант берет уязвимости больше всерьез называть открытием, как круто. Bentkowski сообщили о своем открытии с помощью программы вознаграждения уязвимость Google в прошлом августа. 15. Как сообщается, Google подтвердил его получении на Октября. 12. Forbes отметил, что исследователь безопасности получил $5,000 (£3,895) в качестве награды от поискового гиганта.

Добавить комментарий

Ваш адрес email не будет опубликован.