14-летний подросток находит уязвимость в Gmail

К своему открытию Anthony пришёл случайно, послав журналисту The Inquirer на его Gmail-адрес письмо с аккаунта на Yahoo, включающее в себя несколько строк кода на javascript. Подросток заметил, что javascript запускается, если письмо читают из области предпросмотра в веб-интерфейсе Gmail. Любая другая комбинация серверов отправителей и получателей, кроме Yahoo-Gmail, не даёт подобного результата. В частности, сам Gmail фильтрует исходящие сообщения, содержащие строки кода.

Для того, чтобы создать письмо, запускающее на исполнение код, необходимо выполнить ряд несложных действий. Достаточно написать короткую тему письма, немного текста в теле письма, для того, чтобы код не воспринимался как цитируемый текст, и, собственно, код.Можно задать любое действие, которое будет выполнено при помощи javascript. Данную уязвимость уже подтвердили независимые эксперты. Официального ответа от Google пока не последовало.