Categories: Sicherheit

Google schließt schwerwiegende XSS-Lücke in Gmail

Google hat eine Cross-Site-Scripting-Lücke (XSS) in seinem E-Mail-Dienst Gmail geschlossen. Entdeckt wurde die Anfälligkeit von Michal Bentkowski, Chief Security Researcher bei Securitum. Einem Blogeintrag zufolge steckte der Fehler in der Funktion AMP4Email, die seit Juli allgemein für Gmail verfügbar ist.

AMP4Email wird auch als Dynamic Email bezeichnet. Die Funktion soll die Darstellung dynamischer Inhalte in elektronischen Nachrichten wie Einladungen zu Veranstaltungen oder Kommentar-Threads verbessern.

Ab Werk verfügt AMP4Email über ein Validierungssystem, dass XSS-Angriffe verhindern soll. Es sind jedoch bestimmte Tags und Attribute über eine Whitelist erlaubt. Versuche, neue Elemente zu dieser Liste hinzuzufügen, werden mit einer Fehlermeldung quittiert.

Der Forscher fand heraus, dass das Attribut „ID“ in Tags erlaubt ist, was ihn vermuten ließ, AMP4Email könne anfällig für DOM Clobbering sein. Document Object Model (DOM) Clobbering wird durch eine zunehmende Komplexität digitaler Nachrichten ausgelöst. E-Mails enthalten beispielsweise schon lange nicht mehr nur Text, sondern häufig zusätzliche Inhalte, was eine genaue Prüfung und Bereinigung erforderlich macht. Probleme mit Weißen Listen öffnen indes Türen für XSS-Angriffe.

„DOM Clobbering ist eine veraltete Funktion von Webbrowsern, die in vielen Anwendungen immer wieder Probleme verursacht“, erklärte der Forscher. Im Fall von AMP4Email führt sie dazu, dass ein Angreifer Teile einer Angabe für eine URL kontrollieren und somit für Cross-Site-Scripting benutzen kann. Allerdings soll eine Inhaltssicherheitsrichtlinie in AMP dafür sorgen, dass auf dieser Art eingeschleuster Code nicht vollständig ausgeführt wird.

Die Schwachstelle meldete der Forscher am 15. August über das Google Vulnerability Reward Program, über das Google externe Sicherheitsforscher für ihre Arbeit belohnt. Einen Tag später bestätigte Google den Fehlerbericht. Nach einer eigenen Analyse antwortete Google schließlich am 10. September: „Der Fehler ist großartig, danke für die Meldung.“ Am 12. Oktober informierte Google den Forscher, dass der Fehler beseitigt worden sei.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Hackergruppe OurMine kapert Social-Media-Konten von 15 NFL-Teams

Betroffen sind überwiegend Twitter-Konten. Die Hacker übernehmen aber auch die Kontrolle über Instagram- und Facebook-Konten. Möglicherweise knacken sie zuerst das…

15 Minuten ago

Exploit für frisch gepatchte RDP-Lücke in Windows Server veröffentlicht

Der Proof-of-Concept ermöglicht das Einschleusen und Ausführen von Schadcode. Bisher lag nur Beispielcode für Denial-of-Service-Angriffe vor. Microsoft bietet seit rund…

2 Stunden ago

Bericht: EU stimmt Beteiligung von Huawei am 5G-Netzausbau zu

Das geht angeblich aus einem noch unter Verschluss gehaltenen Bericht der EU-Kommission hervor. Darin ist von einem Ausschluss bestimmter Hersteller…

4 Stunden ago

Patentstreit: Apple zu 85 Millionen Dollar Schadenersatz verurteilt

Ein Gericht reduziert den Betrag von 145 auf 85 Millionen Dollar. Zwischenzeitlich sprach eine Richterin WiLan sogar lediglich 10 Millionen…

6 Stunden ago

Bericht: Avast verkauft Daten seiner Nutzer an Google, Microsoft und Pepsi

Die Daten gibt Avast an die Tochter Jumpshot weiter. Das Unternehmen wiederum bietet Analytics-Dienste für Dritte an. Inzwischen holt Avast…

7 Stunden ago

Mozilla verbannt in zwei Wochen mehr als 200 schädliche Firefox-Add-ons

Sie schleusen Schadcode ein oder stehlen vertrauliche Daten. Auch Codeverschleierung stuft Mozilla als Risiko und damit als unerwünscht ein. Mozilla…

23 Stunden ago