Googleが修正したGmailの脆弱性、「DOM Clobbering」の問題を悪用

発見者は「有名なDOM Clobberingの問題を現実世界で悪用する実例」と位置付けている。

» 2019年11月19日 13時19分 公開
[鈴木聖子ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ポーランドのセキュリティ企業Securitumは2019年11月18日、Googleの電子メールサービス「Gmail」に存在していた脆弱(ぜいじゃく)性について、詳しい内容を公表した。Googleは同社からの報告を受け、既にこの問題を修正している。

 Securitumのブログによると、今回の脆弱性は、メールに動的なHTMLコンテンツを含めるために使われるGmailの新機能「AMP4Email」に存在していた。AMP4Emailは「ダイナミックemail」とも呼ばれる機能で、これを使うと、イベントの出欠確認やアンケートへの回答といった行動をメッセージから直接起こせる。

Gmailの新機能「AMP4Email」を試せる「AMP4Email Playground」の様子

機能を逆手に取った脆弱性の中身とは

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ