google-vulnerabilite-spam Le blog TechCrunch a rapporté ce week-end l'existence d'une vulnérabilité mise au jour par un certain Vahe G et permettant d'envoyer du spam à des utilisateurs Gmail depuis les serveurs Google. Les en-têtes de l'e-mail n'ont ainsi pas été falsifiés.

Lors de la consultation du blog guntada.blogspot.com, que Google a désactivé, un utilisateur connecté à Gmail pouvait recevoir de manière quasi instantanée un e-mail des serveurs de Google. Ledit blog a servi de démonstration avec aucune intention malveillante, ce qui aurait par contre pu être le cas pour par exemple diffuser un e-mail de phishing auquel un utilisateur aurait été plus sensible avec l'alibi Google.com.

Google a rapidement corrigé le problème, indiquant qu'il était présent dans l'API Google Apps Script. Plusieurs sociétés de sécurité ont avancé qu'il s'agissait d'un trou de sécurité sérieux. Google encourage pour sa part à une divulgation responsable des problèmes de sécurité via security@google.com.