加入收藏
 地圖
 用戶登陸
 幫助中心
電子商務 SEO動態 SEO技術 SEO軟件 SEO推薦 網站留言 SEO用戶 SEO專欄 電子商務   SEO培訓
今天是:2020年4月25日 星期六   您現在位于: 首頁 →  SEO技術 → 計算機技術(軟件頻道)

Foxmail驚曝遠程安全漏洞!

2020/4/25  電子商務網  瀏覽選項:    本文已被瀏覽 1123 次
作者:Botdream
Foxmail作為著名的郵件客戶端軟件,在國內用戶心目中的地位絕對不亞于微軟的Outlook Express。一方面是因為它有很好的易用性,另一方面在于它是為數不多的國產優秀共享軟件。不過,也正因為它誕生的“家庭背景”根本就無法與Outlook Express相比,因此,當它作為個人軟件存在時,可以稱得上非常出色。但隨著用戶的增多,它存在的很多本地安全性問題就一一暴露了出來。不過,在近日傳出的Foxmail 5.0存在遠程安全漏洞的消息,仍然讓Foxmail的使用者吃了一驚——在“內憂外患”的雙重作用下,Foxmail的安全性是否真的像有些安全界人士說的那樣,成了“漏勺”?對于Foxmail的忠實用戶而言,Foxmail是否會因此而成為“雞肋”?
Foxmail驚現遠程安全漏洞
3月19日,北京啟明星辰公司向外界發出一封通告信,稱其積極防御實驗室(ADLUB)的安全專家發現了Foxmail5.0(受影響的版本:Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0)的一個嚴重安全漏洞,攻擊者可以利用惡意構造的郵件來攻擊收件人,如果攻擊者成功地利用了該漏洞,將可以遠程獲得系統權限。啟明星辰的安全專家描述說,在新版本的Foxmail5.0中,引入了一個第三方的組件punylib.dll。Foxmail5.0采用該DLL中的函數對郵件頭進行處理,在處理郵件頭的時候punylib.dll存在一個緩沖區邊界檢查錯誤。
另外,啟明星辰公司對搜狐IT表示,在發現該漏洞后,該公司立即進行了針對性研究,并很快提供了補丁程序以解決問題。啟明星辰還透露,它們已經就此事和Foxmail的擁有者博大公司取得了聯絡,并向對方提供了有關解決方案。
Foxmail開發者的聲明
在啟明星辰對Foxmail出現的這個漏洞向外界發出通告信后,博大國際互聯網有限公司技術總監、Foxmail創始人張小龍在承認此次漏洞存在的同時,以“啟明星辰公司有故意商業炒作之嫌疑”做出了回應,他表示:“啟明星辰主動向媒體發布這條消息,不僅夸大事實,而且顯然是有意的商業炒作行為,啟明星辰無非是想利用Foxmail在國內巨大的名氣來提升自身的形象和知名度,炒作的程度比較大”。
張小龍在給搜狐IT的電話里強調,啟明星辰提到的攻擊只存在理論上的可能性。他說:“因為經過我們研究,實際上只有將惡意代碼寫入發件人地址欄上,同時收件人對該郵件進行回復時,才會有問題。但惡意代碼寫到發件人地址欄會很長,而且內容會非常奇怪,這種陌生的郵件誰會去打開并回復呢?”他還指出:“事實上,這個漏洞并非Foxmail5.0程序本身的缺陷,而是外掛的一個中文域名系統造成的,并且提供該中文域名系統的單位已經給博大一個新的版本,問題已經得到解決了。”
張小龍還解釋說:“實際上,Foxmail5.0客戶端的這個漏洞并不為人所知,并且一般情況下,誰會去攻擊客戶端呢?啟明星辰這么一鬧,大家都知道了,其實是讓Foxmail5.0用戶遭到攻擊的可能性大大增加了。”
據了解,Foxmail5.0使用的中文域名系統目的是幫助Foxmail5.0處理中文郵件。鑒于啟明星辰大張旗鼓地向媒體宣傳此事,張小龍表示,如果事態進一步發展,他們不排除讓CNNIC出面解決此事的可能,因為畢竟這個問題是因為使用CNNIC的產品造成的。
回顧Foxmail本地安全漏洞
如果說這次發現的漏洞對普通用戶來說還比較“遙遠”的話,那么在此之前幾乎盡人皆知的Foxmail客戶端軟件安全問題,就值得普通用戶加以重視了。
1.發送郵件暢通無阻
我們都知道,在Foxmail中可以為賬戶加密。假設我們現在為賬戶“Fox”加了密碼,然后在網頁上隨便找個E-mail地址的鏈接點擊,就可以直接進入Foxmail的“寫郵件”窗口。填寫完內容后,直接單擊工具欄上的“發送”按鈕,你會發現郵件已經開始發送了,在這個過程中,Foxmail沒有要求用戶輸入任何密碼!
顯然,采用這種方式,任何未經授權、不掌握密碼的用戶,只要能夠用你的電腦,就能夠冒用你的郵箱,以你的名義給任何人發送郵件!
2.破解密碼易如反掌
如果說發送郵件暢通無阻對我們的個人安全還不會構成很大威脅的話,那么如果郵箱密碼被輕松破解的話,我們的個人郵件可就無所遁形了!
事實上,在Foxmail 5.0中,我們只需一點小小的設置,即可看到他人所有收發的郵件,地址簿信息也一覽無余!
我們仍然以“Fox”賬戶為例。先確認關閉Foxmail 5.0,然后打開“資源管理器”,查找Foxmail 5.0中“Fox”賬戶的文件夾(一般位于\Foxmail\Mail\Fox),將Account.stg文件刪除。重新啟動Foxmail 5.0,你會發現,現在根本不需要輸入密碼就可以直接打開加密的賬戶!既然大門已經敞開了,那么要拿什么東西,就隨你的便了:查看、刪除、轉發郵件自然不在話下,單擊工具欄上的“地址簿”可以將收藏的郵件地址一覽無余,甚至還可以執行“賬戶→刪除”命令,將該賬戶直接刪除!
Foxmail漸成雞肋?
微軟研究院高級研究員Jim Laruf曾說過:“人類開發計算機軟件已經50多年了,但軟件產品依然滿是漏洞。我們的開發工具已經越來越好,但用這些工具撰寫的代碼卻沒有反映出這種進步。”的確,現在幾乎每周我們都能看到商業軟件有重大漏洞出現。
但是,對于Foxmail客戶端軟件在本地安全上存在的重大安全問題,用戶們也不得不考慮。雖然在當初開發軟件時,張小龍以一己之力無法過多地關注亦成根本沒有考慮到軟件的安全問題,但隨著Foxmail知名度越來越大,用戶越來越多,其安全性問題勢必會產生很大的影響。尤其是Foxmail這個品牌現在已經被Foxmail商業版軟件使用,雖然這次曝光的漏洞已經被補上,但該漏洞的發現對Foxmail品牌的影響絕對不可低估。
事實上,對于軟件錯誤的修補,在軟件開發的不同階段其成本是不一樣的。在軟件業一個有這樣一個通用的比喻:假設修正一個軟件錯誤的花費在開發階段要10美元;那么質量控制階段需要100美元;在Beta版測試期間為1000美元;而到軟件部署以后再來修正,則高達1萬美元。這里的錯誤指的還僅僅是一些普通的漏洞,對Foxmail,要徹底解決其本地安全問題,需要投入的恐怕會更多。雖然對于今天仍然在走免費路線的Foxmail客戶端軟件來說,用戶無法過多地求全責備。但如果這些問題無法得到有效的解決,Foxmail也許會成為用戶眼中的“雞肋”。
 發布人:杰米  [ → 我要發表文章 ] 上篇文章:是玩家,就要試試WinXP游戲版
下篇文章:創建所需的啟動映像文件 秘籍:制作多重中文啟動菜單
→ 主題所屬分類:  計算機技術 → 軟件頻道 → 『關閉窗口』
多媒體文件壓縮新貴—ERP
維客在華發展舉步維艱 從業者樂觀未..
硬盤的分區 漫談硬盤損壞后的數據搶救
視頻直播之準備 視頻直播好幫手We..
固話遭遇VoIP和移動雙重夾擊
聊天室:如何在閑聊屋踢人
減肥優化(一) Win XP系統九..
BT下載出現的斷流問題解決
網上購物要常改密碼
QQ2004頭像搶先預覽之寵物版
網上開店須工商注冊的利弊
快速克隆對方QQ好友使用的文字格式
界面對比 GreenBrowser..
大寫中文數字的半自動和全自動輸入方式
移動硬盤介紹 不傳秘笈:MSN也有..
讓IE也能多頁面瀏覽網頁 IE插件..
“隱形”木馬啟動方式大揭秘
東拉西扯:Web 2.0怎么賺錢?
電腦新手常犯錯誤
成本更低 網上開店全過程透析
電子商務的特殊等價交換規則
MSN聯系人列表將擴至300人
九招用好QQ網絡硬盤(一) 不可小..
令人回味的“殘缺美”
Win 2000中也用Msconf..
用QQ聽電臺的設置方法
千千靜聽另類應用“三板斧”(一) ..
清理IE尾巴 IE全面“整容”三部曲
經典技巧:雙鍵鼠標也滾頁
用系統的“查找”找出所需文件
臨時文件夾,瘋狂玩一把(1) 臨時..
《搜索引擎營銷》電子書
不必開啟的功能 XP別再"煩"我
eBay易趣成為2005年度消費者..
不要太挑剔,做個文件拼接高手(一)..
安全與質量:六成網民不信任網上購物
如何使用Tom-Skype 命令行
輕松獲得WinXP超級管理員權限
借鑒:成功的網絡營銷模式
Windows下的EXE文件大揭密..
思科買斷Digital Fairw..
中國電信簽Juniper為IPTV
中國電子商務的盈利戰略
設置ADSL ADSL上網通用解決..
Win XP兩種不同的登陸方式
 熱門文章
 
 保存網頁圖片的八種方法 (53484)
 我的QQ 我的信息中心 (47714)
 2006年值得關注的十個web2.0網站 (39644)
 傳統商務與電子商務的區別 (11400)
 讓Windows序列號原形畢露 (10862)
 近一年來RSS和Blog已逐漸成為互聯網發展的新潮流 (9091)
 如何讓搜索引擎收錄新網站 (8270)
 如何保持網站排名課程記錄 --  電子商務網原創 (7337)
 在Word中輸入乘號和除號的幾種方法 (7322)
 IE6用戶如何升級到IE7.0瀏覽器版本 (7140)
 更換開機畫面 Win XP開機畫面隨我定 (7031)
 Ping命令的使用技巧 常用網絡命令使用技巧詳解 (6406)
 智能ABC輸入法中的使用技巧 (6115)
 抓就要抓最清晰的圖片 (6081)
 微軟推免費文件夾加密軟件 (5905)
 最近更新
 
 保存網頁圖片的八種方法 (8月1日)
 我的QQ 我的信息中心 (8月1日)
 2006年值得關注的十個web2.0網站 (8月1日)
 傳統商務與電子商務的區別 (8月1日)
 讓Windows序列號原形畢露 (8月1日)
 近一年來RSS和Blog已逐漸成為互聯網發展的新潮流 (7月21日)
 如何讓搜索引擎收錄新網站 (8月14日)
 如何保持網站排名課程記錄 --  電子商務網原創 (8月15日)
 在Word中輸入乘號和除號的幾種方法 (8月1日)
 IE6用戶如何升級到IE7.0瀏覽器版本 (12月28日)
 更換開機畫面 Win XP開機畫面隨我定 (8月1日)
 Ping命令的使用技巧 常用網絡命令使用技巧詳解 (8月1日)
 智能ABC輸入法中的使用技巧 (8月1日)
 抓就要抓最清晰的圖片 (8月1日)
 微軟推免費文件夾加密軟件 (8月1日)
 文章搜索
 
搜索選項:            
  → 評論內容 (點擊查看)
(沒有相關評論)
  → 發表我的評論
您的姓名:  您的E-mail:

評論內容:
發表評論:  
   電子商務網每日推薦文章: [原創]橋頁之我見! 2020/4/25
    注:本文中所說的搜索引擎只是使用蜘蛛爬蟲自動收錄的搜索引擎,不包括需要人工審核的收錄搜索引擎。
    橋頁是一個簡單的頁面,是一個專門針對搜索引擎專門定制的頁面,他本身并沒有什么別的實際內容,僅僅是一大堆包括關鍵字的詞語或者短文和外鏈(沒有任何的內鏈)。橋頁可以集中一整頁的優勢去優化另一個相對重要的頁面,也可以制作一個非常適合某一搜索引擎收錄胃口的頁面獲得比較好的排名,然后讓其集中指向另外一個域名,從而達到優化該域名的目的。正因為此,也一度成為優化網站提高排名的重要手段之一。
    由于以前的橋頁僅僅是依靠一個專門的橋頁軟件生成一大堆包括關鍵字的純文本網頁,當用戶點擊搜索出的結果時,然后在這些網頁中做自動的跳轉,把用戶轉接到另外一個主頁上,或者在橋頁上放置一個連接,讓用戶自己點擊。而這往往并非用戶和搜索引擎所想要的東西,大家可想而知,這種方法對用戶以及搜索引擎本身的傷害,所以搜索引擎曾對這種頁面進行過大范圍的刪除和整改。而最近橋頁死灰復燃,現在的橋頁也已經和以前的橋頁有了本質的區別。以前的橋頁是沒有人工進行干預的,而現在的橋頁都是經過專門的針對關鍵字而寫出來的文章或詞匯,本質上已經不是橋頁了,我稱其為橋頁的升級版,或叫超橋頁。因為其加入了人為的干預,使其更具有了專業性和針對性。然后在這些關鍵字中做連接,將用戶引導到自己的主頁上,目的是希望以不同關鍵字來分別優化不同的頁面,來提高網站的流量。......查看詳細內容
關于我們 ┋ 網站留言 ┋ 電子商務網成員網站 ┋ SEO培訓基地 ┋ 地圖 ┋ SEO培訓 ┋ 管理 ┋ TOP
合作站點: 杰晶網絡 | 建材互聯 | Herbal | 淘寶優惠券 | 中國保健品網 | OilPainting | NHE | 杰米世界 | 南強新網 | 十大建材品牌 | 建材市場 | 新聞熱點 | 建材百科
電子商務網 網絡營銷顧問:杰晶網絡 版權所有
Copyright © 2006 ECSoon.com All Rights Reserved
英超比分