Un ragazzino di 14 anni, per ora noto solamente per il nome “Anthony” ha scoperto ina nuova e importante vulnerabilità del servizio di Google Mail.
Scrive sul suo Blog di aver rilevato la problematica mentre tentava di spedire del codice Javascript ad un amico tramite Mail.
La vulnerabilità riscontrata riguarda la presenza di codice javascript all’interno dell’Oggetto della mail inviata e determina una duplice problematica di ragguardevole entità: innanzitutto il codice Javascript potrebbe agevolmente compromettere l’integrità dei dati dell’account di posta elettronica dell’utente ed in seconda analisi il codice viene eseguito anche dalla pagina di preview dei messaggi.
Nel dettaglio è sufficiente introdurre codice nell’Oggetto per vederlo eseguito una volta aperta la schermata principale del proprio account Gmail. Se ad esempio si introduce il seguente codice
Pippo
si otterrà l’esecuzione dello script.
Google non ha ancora assunto una posizione ufficiale sull’argomento, ma le implicazioni sono ovviamente vastissime, se si pensa alla possibilità di eseguire codice recuperato remotamente e quindi non soggetto ad alcun tipo di limitazione.
UPDATE: Google in poco meno di 2 ore ha fixato e corretto il problema… Complimenti ragazzi!
Post Simili
»Democrazia e violenza
»Nasce la Google Foundation
»Sono a Google Mastermind…
»PdR: il Peggio della Rete puntata 1
»Quando per Google Cristo è Porco D*o
»Google Chrome: ecco il tracciante…
»Google presenta “My Search History”
»Google Party Milano e GoogleShake!
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
02 Mar 06
5:25 pm
Mi chiedo .. e se fosse stato uno scherzo?
Ci sono prese di posizione da parte di google?
Il fatto che ci siano commenti contrastanti di persone alle quali funziona o non funziona non e’ strano? e una correzione cosi veloce non e’ altrettanto strana?
Una schermata e’ facilmente generabile da chiunque.
sono solo domande
02 Mar 06
5:29 pm
Me lo sono chiesto anche io ma sembra esistano prove evidenti sia in ML di settore che presso The Inquirer…
Inoltre Google non è nuovo alla messa a tacere delle problematiche.
02 Mar 06
6:03 pm
Ciao .. puo’ essere .. pero’ l’articolo e’ di 24 ore dopo la chiusura del possibile bug .. insomma .. capisci anche tu che l’unica traccia in rete pare il post del ragazzo e il commento dei suoi amici. Tutti gli altri post sono di riflesso su quello, cosi come le schermata .. sempre la stessa.
ciao
Matteo (matteo che scrive a matteo .. e’ un po’ strana come cosa)