В Gmail исправлена уязвимость, допускавшая email-спуфинг - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 25 апрель 2024, 01:19
Скачать приложение Betera на Android
Популярные статьи
  • 24 апрель 2024, 00:00
Немцы приспособили балконы для солнечных панелей — число балконных ферм в Германии превысило 400 тыс. - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
       
  • 24 март 2016, 17:40
Написание эффективного кода
  • 24 март 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 25 апрель 2024, 01:19
Скачать приложение Betera на Android
  • 25 апрель 2024, 01:09
Как купить паблик, группу или сообщество ВКонтакте и не прогадать
21-08-2020, 12:40
В Gmail исправлена уязвимость, допускавшая email-спуфинг - «Новости»
Рейтинг:
Категория: Новости

Разработчики Google исправили серьезную уязвимость, влиявшую на Gmail и G Suite. В сущности, проблема позволяла атакующему имитировать любого пользователя Gmail и G Suite и рассылать письма от чужого имени, обходя такие защитные механизмы как  SPF (Sender Policy Framework) и  DMARC (Domain-based Message Authentication, Reporting, and Conformance).


Еще в апреле текущего года уязвимость обнаружила ИБ-специалистка Эллисон Хусейн (Allison Husain), и у компании Google было более 130 дней на исправление бага. Однако разработчики Google решили отложить релиз патча, планируя устранить проблему лишь осенью, и Хусейн решила, что ждала достаточно долго. Вчера специалистка опубликовала информацию о проблеме в своем блоге, приложив к отчету PoC-эксплоит.


Исследовательница рассказывает, что уязвимость состоит из двух частей. Первая часть проблемы — это ошибка, которая позволяет злоумышленнику отправлять фейковые письма на шлюз в бэкэнде Gmail и G Suite. Так, атакующий может запустить или арендовать вредоносный почтовый сервер в бэкэнде Gmail и G Suite, пропустить через него письмо, а затем воспользоваться второй составляющей проблемы.


Вторая часть уязвимости позволяет злоумышленнику настроить собственные правила маршрутизации, которые будут принимать входящую электронную почту и перенаправлять ее, подделывая личность любого клиента Gmail или G Suite с помощью встроенной функции Change envelope recipient. При этом переадресованное письмо проверяется на соответствие стандартам безопасности SPF и DMARC, что лишь помогает злоумышленнику подтвердить подлинность фейкового сообщения.



В Gmail исправлена уязвимость, допускавшая email-спуфинг - «Новости»

Хусейн продемонстрировала проблему в действии, используя свой личный домен G Suite и выдав себя за not_malicious_security_research@google.com.


«Кроме того, есть вероятность, что такие сообщения будут иметь более низкий спам-рейтинг, так как они исходят от бэкэнда Google, а значит, фильтры будут реагировать на такие сообщения реже», — отмечает Хусейн.


Спустя всего семь часов после раскрытия информации об уязвимость инженеры Google сообщили, что приняли все необходимые меры для предотвращения возможных атак, так что теперь запланированного на сентябрь патча можно дожидаться спокойно.



Разработчики Google исправили серьезную уязвимость, влиявшую на Gmail и G Suite. В сущности, проблема позволяла атакующему имитировать любого пользователя Gmail и G Suite и рассылать письма от чужого имени, обходя такие защитные механизмы как SPF (Sender Policy Framework) и DMARC (Domain-based Message Authentication, Reporting, and Conformance). Еще в апреле текущего года уязвимость обнаружила ИБ-специалистка Эллисон Хусейн (Allison Husain), и у компании Google было более 130 дней на исправление бага. Однако разработчики Google решили отложить релиз патча, планируя устранить проблему лишь осенью, и Хусейн решила, что ждала достаточно долго. Вчера специалистка опубликовала информацию о проблеме в своем блоге, приложив к отчету PoC-эксплоит. Исследовательница рассказывает, что уязвимость состоит из двух частей. Первая часть проблемы — это ошибка, которая позволяет злоумышленнику отправлять фейковые письма на шлюз в бэкэнде Gmail и G Suite. Так, атакующий может запустить или арендовать вредоносный почтовый сервер в бэкэнде Gmail и G Suite, пропустить через него письмо, а затем воспользоваться второй составляющей проблемы. Вторая часть уязвимости позволяет злоумышленнику настроить собственные правила маршрутизации, которые будут принимать входящую электронную почту и перенаправлять ее, подделывая личность любого клиента Gmail или G Suite с помощью встроенной функции Change envelope recipient. При этом переадресованное письмо проверяется на соответствие стандартам безопасности SPF и DMARC, что лишь помогает злоумышленнику подтвердить подлинность фейкового сообщения. Хусейн продемонстрировала проблему в действии, используя свой личный домен G Suite и выдав себя за not_malicious_security_research@google.com. «Кроме того, есть вероятность, что такие сообщения будут иметь более низкий спам-рейтинг, так как они исходят от бэкэнда Google, а значит, фильтры будут реагировать на такие сообщения реже», — отмечает Хусейн. Спустя всего семь часов после раскрытия информации об уязвимость инженеры Google сообщили, что приняли все необходимые меры для предотвращения возможных атак, так что теперь запланированного на сентябрь патча можно дожидаться спокойно.

Теги: CSS

Просмотров: 399
Комментариев: 0:   21-08-2020, 12:40
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
Комментарии для сайта Cackle
ДОБАВИТЬ БАННЕР