网络安全公司We Are Segment,是Interlogica集团的一部分,上个月,这家意大利公司因发现Tormoil漏洞(Tor浏览器的漏洞)而登上头条新闻。本月,这家企业再爆惊人发现:
安全公司We Are Segment的研究人员在Gmail中发现了一个漏洞,一个“distorted(扭曲)”的信息可以关闭世界上最知名的网络邮件系统。
该Gmail漏洞是白帽黑客罗伯托·宾迪(Roberto Bindi)发现的。该漏洞可能通过向受害者发送特制消息来阻止用户访问他/她的电子邮件地址,从而利用该漏洞实现关闭Gmail。
“测试是出于好奇。罗伯托想看看如果一个Zalgo文本被注入到Web浏览器会发生什么。“该公司发布的新闻稿称。
Zalgo文本是一种由字符和元字符(字母,数字和其他符号)组成的文本类型,可以由于标准Unicode组合器产生。
由专家进行的第一个实验表明,插入包含大量元字符(大于1.000.000)的Zalgo文本(其也可以由web应用程序生成)会引起浏览器崩溃,即web浏览器关闭数分钟。
尽管已经有了有趣的结果,罗伯托没有止步,他决定再次通过Gmail发送Zalgo文本,期待另一个浏览器崩溃。
他发现的东西超出了想象:不是浏览器崩溃——是Gmail本身~!~!
收件人有效地收到了电子邮件,但他无法打开它,过了一会儿,Gmail关闭显示“错误500”消息(由于未指定的原因导致的内部服务器故障,如不可逆的代码错误)。
研究人员设法找到一个技术手段来绕过,重新激活电子邮件帐户,以重复实验并验证Gmail关闭的持续时间,但他发现这个账户连续四天都“消失”了。
自从这个发现以后,Roberto决定联系Google的团队。几个星期后,小组沟通说他们已经开始研究这个问题。
“通过发送一系列特殊字符,造成谷歌的邮件系统停止工作后,我开始担心这个漏洞可能造成的后果和损害。一个恶意的人可能会通过发送一封简单的电子邮件来阻止其他邮件帐户,如“purchases @ ...”或其他工作电子邮件。“Roberto Bindi解释说。
“这就是为什么我的公司决定在谷歌解决问题之后才发布这条信息。我们的选择是基于道德规范”
来源:
http://securityaffairs.co/wordpress/67623/hacking/gmail-shutdown-zalgo-text.html返回搜狐,查看更多
责任编辑: