La réalité est que les programmes traitent les données. Ces programmes peuvent contenir des bogues entraînant un comportement complètement différent du programme prévu. Habituellement, ce qui se passe dans de telles circonstances est que le programme sera soit arrêté par le système d'exploitation, soit simplement adopter un comportement aléatoire non nuisible. Cependant, tout ce qu'un programme fait est techniquement encore déterministe (à moins que le caractère aléatoire ne soit impliqué) - donc ce qu'un programme fait réellement lorsqu'il rencontre des données qu'il traite mal est déterministe, donc les attaquants sont capables de construire des données de manière à contrôler exactement ce que fait le programme.
Lors de la réception d'e-mails, votre client de messagerie traite déjà des données, il y a donc de bonnes chances qu'un attaquant puisse prendre le contrôle de votre programme de messagerie simplement en vous envoyant un e-mail - peu importe si vous le regardez réellement. Le programme de messagerie téléchargera l'e-mail et, par exemple, vous affichera le sujet. Lorsque vous ouvrez l'e-mail, votre client de messagerie fera probablement encore plus de choses, comme analyser le HTML dans l'e-mail, afficher le contenu, afficher des images, etc. Dans tout ce qu'il fait (de l'analyse HTML, au rendu images, rendre du texte, télécharger des e-mails, afficher le sujet), il peut y avoir un bogue.
Ouvrir un e-mail suspect est seulement plus risqué car plus de données sont traitées lorsque vous l'ouvrez.
Lorsque vous visitez un site Web (tel que Gmail) et y ouvrez un e-mail, les choses sont très différentes car Gmail n'est qu'un site Web comme les autres ... sauf qu'il affiche des e-mails. Le problème est que les sites Web doivent prendre en compte le fait que vous ne pouvez pas simplement envoyer le contenu de l'e-mail brut au navigateur, car il pourrait y avoir du HTML malveillant et / ou du JavaScript malveillant. Techniquement, ce n'est pas très différent de sites comme Wikipédia où les utilisateurs peuvent écrire des articles contenant une mise en forme.
Bien sûr, votre navigateur utilisera également des bibliothèques pour rendre le texte, traiter les polices, traiter les images, etc. donc s'il y a un bogue dans une bibliothèque d'images et que l'e-mail contient une image malveillante, vous n'avez pas de chance et c'est pas la faute de Gmail. Vous pouvez vous attendre à ce que les vulnérabilités de sécurité possibles avec Gmail soient les mêmes que celles du navigateur, plus le problème de XSS et d'autres vulnérabilités de sécurité spécifiques au Web.
C'est également la raison pour laquelle vous serez infecté par des éléments même lorsque vous ne visitez aucun site suspect (et que les gens parlent généralement de sites pornographiques, de streaming, de warez par là), c'est parce que même des sites non suspects diffusent des publicités provenant de différents réseaux, donc si un attaquant infecte un réseau publicitaire d'une manière ou d'une autre, même le non- les sites suspects vous serviront de logiciels malveillants. Techniquement, il est non sécurisé d'utiliser du contenu tiers que vous ne contrôlez pas. Pensez à ce qui se passe lorsqu'un attaquant parvient à contrôler un CDN qui sert jquery ou bootstrap ou autre, là où des milliers de sites l'utilisent. Ensuite, tous ces sites contiendront du javascript malveillant. Pour éviter que cela ne se produise, il y a SRI, mais je ne sais pas dans quelle mesure cela est bien pris en charge pour le moment.