Teen Blogger descubre una vulnerabilidad de Javascript en GMail
Teen Blogger descubre una vulnerabilidad de Javascript en GMail
Un bloguero de 14 años (¿no son todos blogueros de 14 años?) descubrió recientemente un agujero en Google Gmail que permite la ejecución automática de javascript cuando alguien está usando la función de vista previa de correo electrónico.
Del blog de Blogger alojado en Blogspot de Ph3rny: Ph3rny’s Blogspot hosted Blogger Blog
I was recently attempting to mail some javascript code from my yahoo account to my gmail when I came across this vulnerability.
Apparently javascript will run if it is withing the preview of the message.
I only tested this sending from a yahoo account. Sending gmail to gmail appears to filter this out.
This is what the message has to compose of
* A short subject to increase the ammount of code to run
* A short bit of text in the body so that the code isn’t treated as quoted text
* And your code
My simple test was : Subject: a Body:
Here is a screen: http://www.ipnow.org/vulnerability.png
This vulnerability could be used to gather email addresses. Or even possibly to compromise the account.
Hace poco estaba intentando enviar un código javascript desde mi cuenta de Yahoo a mi Gmail cuando me encontré con esta vulnerabilidad.
Aparentemente, javascript se ejecutará si está dentro de la vista previa del mensaje.
Solo probé este envío desde una cuenta de yahoo Enviar gmail a gmail parece filtrar esto.
Esto es lo que el mensaje tiene que componer
* Un tema breve para aumentar la cantidad de código a ejecutar.
* Un poco de texto en el cuerpo para que el código no se trate como texto citado
* Y tu código
Mi prueba simple fue: Sujeto: un Cuerpo:
Aquí hay una pantalla: http://www.ipnow.org/vulnerability.png http://www.ipnow.org/vulnerability.png
Esta vulnerabilidad podría usarse para recopilar direcciones de correo electrónico O incluso posiblemente para comprometer la cuenta.
Desde entonces, Gmail de Google ha abordado y solucionado la falla:
“We learned of a minor security flaw in Gmail a little while ago and worked quickly to fix the problem, which has now been resolved. We encourage all vulnerability reporters to follow responsible disclosure practices and notify vendors first before making the vulnerability public.”
“Nos enteramos de una falla de seguridad menor en Gmail hace un tiempo y trabajamos rápidamente para solucionar el problema, que ahora se ha resuelto. Alentamos a todos los reporteros de vulnerabilidades a seguir prácticas de divulgación responsable y notificar a los proveedores antes de hacer pública la vulnerabilidad”.
Leer el articulo original en Search Engine Journal.