voor Zero Day
| 18 November 2019 — 11:18 GMT (11:18 GMT)
| Onderwerp: Security
Bye, Flash: Google om te stoppen met het indexeren van Flash-inhoud in zoekresultaten
Google Zoeken zal niet langer index Flitser inhoud dat de crawlers vinden op websites.
Google heeft besloten een XSS-kwetsbaarheid in Gmail beschreven door de tech giant ‘ s eigen team als “geweldig.”
Op maandag, Michał Bentkowski, Chief Security Onderzoeker bij Securitum, bekend gemaakt van de kwetsbaarheid door middel van een verantwoorde openbaarmaking van het proces na de bug had opgelost.
In een blog post, Bentkowski zei dat de beveiliging lek was aanwezig in AMP4Email, een functie in Gmail naar buiten geduwd om de algemene beschikbaarheid in juli.
AMP4Email, ook bekend als dynamic e-mail, is ingevoerd om het makkelijker te maken voor dynamische inhoud wilt weergeven in e-mails, zoals de threads van commentaar of uitnodigingen voor evenementen.
AMP4Email heeft een validatie systeem te voorkomen cross-site scripting (XSS) aanvallen kunnen worden gebruikt om misbruik van de functie. Bepaalde tags en attributen zijn witte lijst, en iemand moet het proberen om een ander element of attribuut dat is niet toegestaan, fouten optreden.
Echter, de security-onderzoeker merkte op dat het id attribuut is niet toegestaan in tags, wat leidt tot een onderzoek naar het al of niet AMP4Email kan worden onderworpen aan DOM Werken.
Zie ook: Deze zwakke plekken in de software top MITRE de meest gevaarlijke lijst
DOM (Document Object Model) Werken is veroorzaakt door de geleidelijke toename in complexiteit als het gaat om digitale berichten. E-mails worden zelden nu alleen tekst-gebaseerd, en terwijl u probeert te bevorderen extra content, sanering essentieel geworden — maar, soms, problemen in de witte lijsten kunnen worden benut voor het implementeren van XSS-aanvallen.
“DOM Werken is een verouderde functie van webbrowsers die gewoon blijft problemen veroorzaken in vele toepassingen,” de onderzoeker zegt. “Wanneer u een element in HTML (bijvoorbeeld) en je wilt naar verwijzen JavaScript, zou je meestal gebruik van een functie als document .getElementById(‘username’) of een document .querySelector(‘#username’). De erfenis manier is om gewoon te benaderen via een eigendom van global window-object. Zo venster.de gebruikersnaam is in dit geval precies hetzelfde als een document.getElementById(‘username’).”
In AMP4Email, een aantal waarden voor het kenmerk id zijn beperkt. Echter, wanneer in AMP_MODE, een fout veroorzaakt een 404 als de functie probeerde te laden JS bestanden, waardoor een ‘undefined’ gedeelte in de resulterende URL.
CNET: de Meeste Amerikanen denken niet dat het mogelijk is om te houden van hun eigen gegevens, rapport zegt
“AMP probeert te krijgen een eigenschap van AMP_MODE om het in de URL,” de onderzoeker zegt. “Omdat DOM van Werken, de verwachte eigenschap ontbreekt, dus niet gedefinieerd.”
De code die verantwoordelijk is voor de niet-gedefinieerde element controleert om te zien als AMP_MODE.test en venster.testLocation zijn truthy, maar het viel op dat de URL kan worden gecontroleerd door het schrijven van een payload om overbelasting van het venster.testLocation.
In een real-world scenario, maar een Content Security Policy (CSP) functie in AMP gestopt met de code volledig uit te voeren.
TechRepublic: Cybersecurity blijft de top zorg voor het midden van de markt bedrijven
De kwetsbaarheid werd gemeld via de Google Kwetsbaarheid Beloning Programma op 15 augustus 2019. Een dag later, het Google-team aanvaard het rapport, en met 10 September, het team zei: “De bug is geweldig, bedankt voor het melden!”
De tech reus aangemelde Bentkowski op 12 oktober dat het probleem was opgelost, wat leidt tot openbaarmaking.
ZDNet heeft bereikt van Google, maar heeft niet gehoord op het moment van publicatie.
Vorige en aanverwante dekking
TPM-FAIL kwetsbaarheden impact TPM chips in desktops, laptops, servers
Google onderzoekers onthullen kwetsbaarheden voor ‘interactionless’ iOS-aanvallen
WhatsApp kwetsbaarheden ‘woorden in uw mond,’ laat hackers nemen over gesprekken
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 18 November 2019 — 11:18 GMT (11:18 GMT)
| Onderwerp: Security