当前位置:软件学习 > Foxmail >>

漏洞来了 Foxmail渐成鸡肋?

 

  Foxmail作为著名的邮件客户端软件,在国内用户心目中的地位绝对不亚于微软的Outlook Express。一方面是因为它有很好的易用性,另一方面在于它是为数不多的国产优秀共享软件。不过,也正因为它诞生的“家庭背景”根本就无法与Outlook Express相比,因此,当它作为个人软件存在时,可以称得上非常出色。但随着用户的增多,它存在的很多本地安全性问题就一一暴露了出来。不过,在近日传出的Foxmail 5.0存在远程安全漏洞的消息,仍然让Foxmail的使用者吃了一惊——在“内忧外患”的双重作用下,Foxmail的安全性是否真的像有些安全界人士说的那样,成了“漏勺”?对于Foxmail的忠实用户而言,Foxmail是否会因此而成为“鸡肋”?


  Foxmail惊现远程安全漏洞

  3月19日,北京启明星辰公司向外界发出一封通告信,称其积极防御实验室(ADLUB)的安全专家发现了Foxmail5.0(受影响的版本:Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0)的一个严重安全漏洞,攻击者可以利用恶意构造的邮件来攻击收件人,如果攻击者成功地利用了该漏洞,将可以远程获得系统权限。启明星辰的安全专家描述说,在新版本的Foxmail5.0中,引入了一个第三方的组件punylib.dll。Foxmail5.0采用该DLL中的函数对邮件头进行处理,在处理邮件头的时候punylib.dll存在一个缓冲区边界检查错误。

  另外,启明星辰公司对搜狐IT表示,在发现该漏洞后,该公司立即进行了针对性研究,并很快提供了补丁程序以解决问题。启明星辰还透露,它们已经就此事和Foxmail的拥有者博大公司取得了联络,并向对方提供了有关解决方案。


  Foxmail开发者的声明

  在启明星辰对Foxmail出现的这个漏洞向外界发出通告信后,博大国际互联网有限公司技术总监、Foxmail创始人张小龙在承认此次漏洞存在的同时,以“启明星辰公司有故意商业炒作之嫌疑”做出了回应,他表示:“启明星辰主动向媒体发布这条消息,不仅夸大事实,而且显然是有意的商业炒作行为,启明星辰无非是想利用Foxmail在国内巨大的名气来提升自身的形象和知名度,炒作的程度比较大”。

  张小龙在给搜狐IT的电话里强调,启明星辰提到的攻击只存在理论上的可能性。他说:“因为经过我们研究,实际上只有将恶意代码写入发件人地址栏上,同时收件人对该邮件进行回复时,才会有问题。但恶意代码写到发件人地址栏会很长,而且内容会非常奇怪,这种陌生的邮件谁会去打开并回复呢?”他还指出:“事实上,这个漏洞并非Foxmail5.0程序本身的缺陷,而是外挂的一个中文域名系统造成的,并且提供该中文域名系统的单位已经给博大一个新的版本,问题已经得到解决了。”

  张小龙还解释说:“实际上,Foxmail5.0客户端的这个漏洞并不为人所知,并且一般情况下,谁会去攻击客户端呢?启明星辰这么一闹,大家都知道了,其实是让Foxmail5.0用户遭到攻击的可能性大大增加了。”

  据了解,Foxmail5.0使用的中文域名系统目的是帮助Foxmail5.0处理中文邮件。鉴于启明星辰大张旗鼓地向媒体宣传此事,张小龙表示,如果事态进一步发展,他们不排除让CNNIC出面解决此事的可能,因为毕竟这个问题是因为使用CNNIC的产品造成的。

CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,