Fazlasıyla düşük bir ihtimal diye denmesinin sebebi sana gelen maili tarayıcında veya uygulamada görüntülerken tarayıcı ve uygulama bu mail'i kısıtlayarak görüntülüyor. Mesela mail'de bir JavaScript kodu varsa bu kodu Gmail normalde çalıştırmayacaktır sadece düz bir metinmiş gibi o koda muamele ederek ekranda gösterir yahut göstermez. Ama yarın öbür gün Gmail'de mesela XSS açığı bulunursa mail'i gönderen kişi bu zaafiyetten yararlanarak mail'i görüntüleyen kişide mail'deki JavaScript kodunun çalıştırılmasını sağlayabilir. Bunlar Gmail için şahsen bence gerçekten çok düşük ihtimalli senaryolar. Ama mesela Tutanota adlı bir başka mail sağlayıcısında 2022 yılında XSS ve RCE açıkları bulundu[1]. Ben buna çok gülmüştüm açıkçası beni hayal kırıklığına uğratmıştı Tutanota. Ama her neyse konudan sapmamalıyım. ;-;
Tek mesele XSS de değil... Bir çok varyant var. Ama kısacası gelen mail'deki veriler kafasına göre iş yapamıyor. Haliyle normal şartlarda bir mail'i görüntüleyerek virüs vs. yemiş olmassın. Teknik detaylarını merak ediyorsan siber güvenlik araştırmaları yapman gerekecek.
[1]:
Cross-site scripting vulnerability fixed.