Google répare en urgence une vulnérabilité de Gmail

Cloud

Découverte par un jeune blogueur, cette faille liée aux codes JavaScript a été colmatée environ trois heures après sa divulgation.

Google a corrigé une vulnérabilité de son service de webmail Gmail, laquelle permettait à un assaillant de collecter des adresses e-mail à partir du compte d’un utilisateur et, éventuellement, d’avoir accès à ce compte. Révélée mercredi 1er mars vers midi, la faille était colmatée par Google environ trois heures plus tard.

Un blogueur dénommé Anthony, qui affirme sur son site avoir 14 ans, a accidentellement découvert cette vulnérabilité alors qu’il s’envoyait un code JavaScript d’une adresse e-mail externe vers son compte Gmail. Lorsqu’il a ouvert ce message sur Gmail, le service a automatiquement exécuté le script. « Apparemment, le code JavaScript s’exécute lorsqu’il apparaît dans l’espace de prévisualisation du message », note le jeune blogueur.

Google désapprouve la méthode

Google a confirmé l’existence de cette vulnérabilité dans un e-mail envoyé à VNUnet.com. « Nous avons récemment appris la présence d’une faille de sécurité mineure dans Gmail et avons aussitôt fait le nécessaire pour corriger ce problème », écrit Sonya Borälv, porte-parole de Google.

La société a cependant reproché au blogueur d’avoir publiquement exposé les détails de cette faille avant de lui en faire part. « Nous appelons toute personne découvrant une vulnérabilité à observer une attitude responsable en prévenant le distributeur du produit avant de la rendre publique », prévient Sonya Borälv.

(Traduction d’un article de VNUnet.com en date du 3 mars 2006)