一位名叫安东尼(Anthony)的14岁少年在Google的Gmail邮件系统中发现了一个严重漏洞,恶意攻击者可用来搜集E-mail地址并有可能威胁帐户安全。
安东尼是在给朋友发送邮件的时候发现这一漏洞的。他使用一个雅虎邮件帐户给自己朋友的Gmail帐户发送了一封内含JavaScript代码的信件,然后发现信件预览区内的代码被执行了。
安东尼在他的博客中指出,如果要增加执行代码的长度,可以使用短标题,并且需要在信件主体内写入少量的文字,以免代码被当作引用文字处理掉。
不过,只有来自雅虎帐号的邮件才会引发这一问题;如果是在两个Gmail帐号之间发送此种邮件,其中的代码会被自动过滤掉。
该漏洞目前已经得到其它人士的确认,但还没有来自Google官方的消息。
|