加入收藏
 地图
 用户登陆
 帮助中心
电子商务 SEO动态 SEO技术 SEO软件 SEO推荐 网站留言 SEO用户 SEO专栏 电子商务   SEO培训
今天是:2019年4月23日 星期二   您现在位于: 首页 →  SEO技术 → 计算机技术(软件频道)

Foxmail惊曝远程安全漏洞!

2019/4/23  电子商务网  浏览选项:    本文已被浏览 1070 次
作者:Botdream
Foxmail作为著名的邮件客户端软件,在国内用户心目中的地位绝对不亚于微软的Outlook Express。一方面是因为它有很好的易用性,另一方面在于它是为数不多的国产优秀共享软件。不过,也正因为它诞生的“家庭背景”根本就无法与Outlook Express相比,因此,当它作为个人软件存在时,可以称得上非常出色。但随着用户的增多,它存在的很多本地安全性问题就一一暴露了出来。不过,在近日传出的Foxmail 5.0存在远程安全漏洞的消息,仍然让Foxmail的使用者吃了一惊——在“内忧外患”的双重作用下,Foxmail的安全性是否真的像有些安全界人士说的那样,成了“漏勺”?对于Foxmail的忠实用户而言,Foxmail是否会因此而成为“鸡肋”?
Foxmail惊现远程安全漏洞
3月19日,北京启明星辰公司向外界发出一封通告信,称其积极防御实验室(ADLUB)的安全专家发现了Foxmail5.0(受影响的版本:Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0)的一个严重安全漏洞,攻击者可以利用恶意构造的邮件来攻击收件人,如果攻击者成功地利用了该漏洞,将可以远程获得系统权限。启明星辰的安全专家描述说,在新版本的Foxmail5.0中,引入了一个第三方的组件punylib.dll。Foxmail5.0采用该DLL中的函数对邮件头进行处理,在处理邮件头的时候punylib.dll存在一个缓冲区边界检查错误。
另外,启明星辰公司对搜狐IT表示,在发现该漏洞后,该公司立即进行了针对性研究,并很快提供了补丁程序以解决问题。启明星辰还透露,它们已经就此事和Foxmail的拥有者博大公司取得了联络,并向对方提供了有关解决方案。
Foxmail开发者的声明
在启明星辰对Foxmail出现的这个漏洞向外界发出通告信后,博大国际互联网有限公司技术总监、Foxmail创始人张小龙在承认此次漏洞存在的同时,以“启明星辰公司有故意商业炒作之嫌疑”做出了回应,他表示:“启明星辰主动向媒体发布这条消息,不仅夸大事实,而且显然是有意的商业炒作行为,启明星辰无非是想利用Foxmail在国内巨大的名气来提升自身的形象和知名度,炒作的程度比较大”。
张小龙在给搜狐IT的电话里强调,启明星辰提到的攻击只存在理论上的可能性。他说:“因为经过我们研究,实际上只有将恶意代码写入发件人地址栏上,同时收件人对该邮件进行回复时,才会有问题。但恶意代码写到发件人地址栏会很长,而且内容会非常奇怪,这种陌生的邮件谁会去打开并回复呢?”他还指出:“事实上,这个漏洞并非Foxmail5.0程序本身的缺陷,而是外挂的一个中文域名系统造成的,并且提供该中文域名系统的单位已经给博大一个新的版本,问题已经得到解决了。”
张小龙还解释说:“实际上,Foxmail5.0客户端的这个漏洞并不为人所知,并且一般情况下,谁会去攻击客户端呢?启明星辰这么一闹,大家都知道了,其实是让Foxmail5.0用户遭到攻击的可能性大大增加了。”
据了解,Foxmail5.0使用的中文域名系统目的是帮助Foxmail5.0处理中文邮件。鉴于启明星辰大张旗鼓地向媒体宣传此事,张小龙表示,如果事态进一步发展,他们不排除让CNNIC出面解决此事的可能,因为毕竟这个问题是因为使用CNNIC的产品造成的。
回顾Foxmail本地安全漏洞
如果说这次发现的漏洞对普通用户来说还比较“遥远”的话,那么在此之前几乎尽人皆知的Foxmail客户端软件安全问题,就值得普通用户加以重视了。
1.发送邮件畅通无阻
我们都知道,在Foxmail中可以为账户加密。假设我们现在为账户“Fox”加了密码,然后在网页上随便找个E-mail地址的链接点击,就可以直接进入Foxmail的“写邮件”窗口。填写完内容后,直接单击工具栏上的“发送”按钮,你会发现邮件已经开始发送了,在这个过程中,Foxmail没有要求用户输入任何密码!
显然,采用这种方式,任何未经授权、不掌握密码的用户,只要能够用你的电脑,就能够冒用你的邮箱,以你的名义给任何人发送邮件!
2.破解密码易如反掌
如果说发送邮件畅通无阻对我们的个人安全还不会构成很大威胁的话,那么如果邮箱密码被轻松破解的话,我们的个人邮件可就无所遁形了!
事实上,在Foxmail 5.0中,我们只需一点小小的设置,即可看到他人所有收发的邮件,地址簿信息也一览无余!
我们仍然以“Fox”账户为例。先确认关闭Foxmail 5.0,然后打开“资源管理器”,查找Foxmail 5.0中“Fox”账户的文件夹(一般位于\Foxmail\Mail\Fox),将Account.stg文件删除。重新启动Foxmail 5.0,你会发现,现在根本不需要输入密码就可以直接打开加密的账户!既然大门已经敞开了,那么要拿什么东西,就随你的便了:查看、删除、转发邮件自然不在话下,单击工具栏上的“地址簿”可以将收藏的邮件地址一览无余,甚至还可以执行“账户→删除”命令,将该账户直接删除!
Foxmail渐成鸡肋?
微软研究院高级研究员Jim Laruf曾说过:“人类开发计算机软件已经50多年了,但软件产品依然满是漏洞。我们的开发工具已经越来越好,但用这些工具撰写的代码却没有反映出这种进步。”的确,现在几乎每周我们都能看到商业软件有重大漏洞出现。
但是,对于Foxmail客户端软件在本地安全上存在的重大安全问题,用户们也不得不考虑。虽然在当初开发软件时,张小龙以一己之力无法过多地关注亦成根本没有考虑到软件的安全问题,但随着Foxmail知名度越来越大,用户越来越多,其安全性问题势必会产生很大的影响。尤其是Foxmail这个品牌现在已经被Foxmail商业版软件使用,虽然这次曝光的漏洞已经被补上,但该漏洞的发现对Foxmail品牌的影响绝对不可低估。
事实上,对于软件错误的修补,在软件开发的不同阶段其成本是不一样的。在软件业一个有这样一个通用的比喻:假设修正一个软件错误的花费在开发阶段要10美元;那么质量控制阶段需要100美元;在Beta版测试期间为1000美元;而到软件部署以后再来修正,则高达1万美元。这里的错误指的还仅仅是一些普通的漏洞,对Foxmail,要彻底解决其本地安全问题,需要投入的恐怕会更多。虽然对于今天仍然在走免费路线的Foxmail客户端软件来说,用户无法过多地求全责备。但如果这些问题无法得到有效的解决,Foxmail也许会成为用户眼中的“鸡肋”。
 发布人:杰米  [ → 我要发表文章 ] 上篇文章:是玩家,就要试试WinXP游戏版
下篇文章:创建所需的启动映像文件 秘籍:制作多重中文启动菜单
→ 主题所属分类:  计算机技术 → 软件频道 → 『关闭窗口』
对付恶意网站小软件一 四个小麻雀 ..
安全使用IM传递即时消息的十大诀窍
轻松用迅雷批量下载
《星战前传Ⅱ:克隆人的战争》简介 ..
隐藏QQ摄像头 避免恶意视频聊天请求
玩转Messenger 8的共享文..
典型故障(上) IE典型故障四则
BT Plus概况 抢先体验BTP..
Foxmail 6.0 Beta1..
放飞BT 让下载一路奔跑
玫瑰坊:传统花店之网上经营模式
玩转Windows播放有窍门
给你的MSN Spaces添加背景..
WMA音乐光盘刻录实战 Nero6..
电子商务:十三大缺憾
Windows系统命令提示符八大特..
无线网络隐藏终极大法
电子商务协会出新规网上开店要参加培训
加快你的阅读速度
Word功能键一览
Win98也玩系统还原
编辑其他用户配置信息有绝招
安全新法 局域网文件隐形不见
干掉感染IE的恶意程序
恶意代码自己破解!两则攻击伎俩细剖析
神不知鬼不觉更换WinXP用户密码
Photoshop制作仙人掌特效字..
“系统资源不足”时的处理方法
将你的Gmail改造为本地驱动器 ..
让国外朋友看清中文E-mail
成功企业,诚信已成为一种生存技能
换种方式赚钱致富(八)
Excel做网页 学生成绩网上查
Maxthon另类技巧集锦
如何解决始终挡在页面上的广告
泰德发布与Office集成的视频通..
拿什么拯救你 常见文件修复技巧(上..
快速查找共享文件夹位置
定位好友功能大挖掘一 POPO定位..
Windows操作系统防毒高招
电子商务对传统企业的影响
带你挖掘网络宝藏
什么是病毒式营销?
网站首页设计应该关注的重点是什么?
日常维护 ADSL宽带使用经验谈
 热门文章
 
 保存网页图片的八种方法 (53477)
 我的QQ 我的信息中心 (47650)
 2006年值得关注的十个web2.0网站 (39621)
 用OE邮件发短信不再是梦想! (26475)
 传统商务与电子商务的区别 (11239)
 让Windows序列号原形毕露 (10859)
 近一年来RSS和Blog已逐渐成为互联网发展的新潮流 (8277)
 如何让搜索引擎收录新网站 (8241)
 在Word中输入乘号和除号的几种方法 (7325)
 IE6用户如何升级到IE7.0浏览器版本 (7178)
 更换开机画面 Win XP开机画面随我定 (7069)
 Ping命令的使用技巧 常用网络命令使用技巧详解 (6375)
 智能ABC输入法中的使用技巧 (6117)
 抓就要抓最清晰的图片 (6030)
 如何保持网站排名课程记录 --  电子商务网原创 (6028)
 最近更新
 
 保存网页图片的八种方法 (8月1日)
 我的QQ 我的信息中心 (8月1日)
 2006年值得关注的十个web2.0网站 (8月1日)
 用OE邮件发短信不再是梦想! (8月1日)
 传统商务与电子商务的区别 (8月1日)
 让Windows序列号原形毕露 (8月1日)
 近一年来RSS和Blog已逐渐成为互联网发展的新潮流 (7月21日)
 如何让搜索引擎收录新网站 (8月14日)
 在Word中输入乘号和除号的几种方法 (8月1日)
 IE6用户如何升级到IE7.0浏览器版本 (12月28日)
 更换开机画面 Win XP开机画面随我定 (8月1日)
 Ping命令的使用技巧 常用网络命令使用技巧详解 (8月1日)
 智能ABC输入法中的使用技巧 (8月1日)
 抓就要抓最清晰的图片 (8月1日)
 如何保持网站排名课程记录 --  电子商务网原创 (8月15日)
 文章搜索
 
搜索选项:            
  → 评论内容 (点击查看)
(没有相关评论)
  → 发表我的评论
您的姓名:  您的E-mail:

评论内容:
发表评论:  
   电子商务网每日推荐文章: 如何对网站进行搜索引擎优化 - 网站合作联盟群简单优化课程记录 2019/4/23
    如何对网站进行搜索引擎优化~
这个问题比较泛,而且对于网站和搜索引擎来说,之间的关系非常的微妙.例如 不同的网站,本身的结构不同,内容不同,连接不同,所要推广和优化的也不同,不同的搜索引擎, 打个比方, 你需要在 BAIDU上推广, 或是在 GOOGLE ,YAHOO, MSN, YISOU, 163, SINA 上推广.每个搜索引擎自身的算法和规则不同,所以要优化的内容就更不同了......查看详细内容
关于我们 ┋ 网站留言 ┋ 电子商务网成员网站 ┋ SEO培训基地 ┋ 地图 ┋ SEO培训 ┋ 管理 ┋ TOP
合作站点: 杰晶网络 | 建材互联 | Herbal | 淘宝优惠券 | 中国保健品网 | OilPainting | NHE | 杰米世界 | 南强新网
电子商务网 网络营销顾问:杰晶网络 版权所有
Copyright © 2006 ECSoon.com All Rights Reserved