一、漏洞詳情
Foxmail是一款由騰訊公司開發(fā)的非常流行的電子郵件客戶端軟件���,可以免費(fèi)下載�。
近日,國家信息安全漏洞共享平臺(tái)(CNVD)收錄Foxmail郵件客戶端跨站腳本攻擊漏洞。由于Foxmail在處理加載郵件正文時(shí)�����,對危險(xiǎn)內(nèi)容的過濾處理邏輯存在缺陷�,攻擊者構(gòu)造包含惡意指令代碼的電子郵件向目標(biāo)用戶發(fā)送�����,目標(biāo)用戶僅需使用Foxmail打開惡意郵件��,無需其他點(diǎn)擊操作�����,惡意指令代碼即可被用戶主機(jī)加載執(zhí)行��,具有較高的攻擊隱蔽性�����。攻擊者繼而利用其他漏洞�����,在未授權(quán)的前提下實(shí)現(xiàn)對目標(biāo)主機(jī)的木馬文件本地寫入和控制權(quán)限獲取。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作��,以免遭受黑客攻擊�����。
二�、影響范圍
Foxmail for Windows <= 7.2.25.331
三����、修復(fù)建議
現(xiàn)Windows Foxmail官網(wǎng)已更新,目前所有受影響Windows用戶均可通過自動(dòng)更新機(jī)制或手動(dòng)升級(jí)到最新版完成安全修復(fù)���。