14-летний подросток находит уязвимость в Gmail
The Inquirer сообщает, что 14-летний подросток, известный под ником Anthony, нашёл уязвимость в почтовой системе Gmail. В своём Интернет-дневнике по этому адресу подросток указывает способ, используя который, можно собирать e-mail адреса или дискредитировать некоторые из них.
К своему открытию Anthony пришёл случайно, послав журналисту The Inquirer на его Gmail-адрес письмо с аккаунта на Yahoo, включающее в себя несколько строк кода на javascript. Подросток заметил, что javascript запускается, если письмо читают из области предпросмотра в веб-интерфейсе Gmail. Любая другая комбинация серверов отправителей и получателей, кроме Yahoo-Gmail, не даёт подобного результата. В частности, сам Gmail фильтрует исходящие сообщения, содержащие строки кода.
Для того, чтобы создать письмо, запускающее на исполнение код, необходимо выполнить ряд несложных действий. Достаточно написать короткую тему письма, немного текста в теле письма, для того, чтобы код не воспринимался как цитируемый текст, и, собственно, код. Вот результат исполнения простого фрагмента
Subject: a Body: asdfasdf<script>alert("asdF");</script> :
Как видим, можно задать любое действие, которое будет выполнено при помощи javascript. Данную уязвимость уже подтвердили независимые эксперты. Официального ответа от Google пока не последовало.
© TechLabs
