Gmail уязвимость позволяющая блокировать чужие учетные записи

Команде исследователей из компании We Are Segment получилось найти баг в работе почтовой службы Gmail. Он позволяет блокировать почту пользователям через отправку сообщений с особым содержанием.

Как проявилась уязвимость?

Специалисты проводили тесты с текстами Zalgo в браузерах. Особенный тип текста, который состоит более чем из 1000000 метасимволов и символов, на несколько минут выводил браузер из строя. По словам исследователей, из простого любопытства они решили провести проверку, откажет ли браузер, если Zalgo выслать в письме на чей-нибудь почтовый ящик Gmail.

Опыт привел к неожиданному результату: заместо браузера нарушения проблемы начались на сайте самой почтовой службы. Необыкновенное письмо было удачно доставлено адресату, но вот открыть его не получилось. Через пару минут Gmail перезагрузился, и на экране возникло сообщение «Error 500». Профессионалам получилось вернуть работу почты и провести очередное подобное испытание, чтоб зафиксировать время, в течение которого сервис восстановится сам. Как оказывается, атакованный почтовый аккаунт «лежал» 4 дня. Специалисты сообщили о проблеме в Google.

Незащищенность была найдена еще в декабре, но ее решили не предавать огласке до тех пор, пока создатели Gmail не устранят ее.

Внимание! Обнаружена масштабная уязвимость процессоров

Проблемы безопасности были обнаружены независимыми группами исследователей еще полгода назад, однако детали уязвимости были обнародованы только 4 января 2018 года.

Стало известно, что все процессоры, выпущенные компанией Intel за последнее десятилетие, имеют критическую уязвимость. Позднее было установлено, что уязвимость имеют процессоры AMD, а так же архитектуры, на которых работают не только Windows, Linux и macOS, но смартфоны в том числе. Обнаруженные проблемы безопаности особенно масштабны, поскольку ошибка содержится не в программном обеспечении, а в самих процессорах.

Meltdown позволяет разрушить изоляцию между пользовательскими приложениями и операционной системой, что позволяет программе-злоумышленнику получить несанкционированный доступ к памяти ядра и прочитать закрытые данные. Ей подвержены процессоры Intel (выпускаемые с 1995 года) и ARM64 (Cortex-A15/A57/A72/A75)

Spectre («Призрак») позволяет вредоносному считывать данные, к которым он не должен быть доступ. Этой атаке подвержены процессоры Intel, AMD (только при включенном eBPF в ядре) и ARM64 (Cortex-R7/R8, Cortex-A8/A9/A15/A17/A57/A72/A73/A75).

Уязвимость также позволяет получить доступ к чужой памяти в системах паравиртуализации и контейнерной изоляции (в том числе Docker, LXC, OpenVZ). Например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин.

Обновление для защиты от Meltdown уже выпущено для RHEL, CentOS и Fedora, Ubuntu (кроме некоторых дистрибутивов) и ожидается для Debian.

Так же, обратите внимание, что одним из инструментов совершения атаки может стать web-браузер (к примеру, через выполнение JavaScript-кода). Разработчики Google Chrome работают над интеграцией защиты прямо в браузер. Исправление будет доступно в релизе Chrome, назначенном на 23 января. Компания Mozilla внесла в Firеfox 57 временные исправления, затрудняющие атаку, ограничив точность работы таймера (performance.now) до 20µs и отключив SharedArrayBuffer.

Несколько дней назад пользователи начали сообщать, что на системах с некоторыми чипами AMD операционная система перестаёт загружаться после получения обновления KB4056892 для Windows. Сегодня Microsoft подтвердила, что проблема существует и приостановила выдачу обновлений для компьютеров с такими процессорами.

После применения обновления загрузка доходит только до логотипа Windows и не продолжается дальше. Примечательно, что контрольная точка не создаётся, поэтому восстановить систему к рабочему состоянию, которое было до установки обновления, не получится. Некоторые пользователи говорят, что переустановка Windows не решает вопрос.

Сообщается, что Microsoft совместно с AMD уже работают над решением проблемы. Точные сроки возобновления распространения обновлений неизвестны.

Пока что мы рекомендуем всем, кто пользуется Windows на машинах с AMD, временно отключить автоматическое применение обновлений. Если вы уже обновились и ОС не загружается, Microsoft рекомендует обратиться к этим материалам:

Troubleshoot blue screen errors in Windows 10.
Resolving Blue Screen errors in Windows 8.1.
Resolving stop (blue screen) errors in Windows 7.
Напомним, что ранее в начале этого года в процессорах Intel были найдены критические уязвимости, позволяющие любому приложению получать доступ к памяти ядра (их назвали Meltdown и Spectre). Далее выяснилось, что чипы от AMD также содержат ошибки в безопасности, однако в меньшей степени (только Spectre).