近期国家信息安全漏洞共享平台收录了腾讯Foxmail邮件客户端跨站脚本攻击漏洞。为切实保障校园网络和个人信息安全,现将有关情况通报如下,请广大师生高度重视,并积极做好防范工作。
一、漏洞通报
由于Foxmail在处理加载邮件正文时,对危险内容的过滤处理逻辑存在缺陷,攻击者构造包含恶意指令代码的电子邮件向目标用户发送,目标用户仅需使用Foxmail打开恶意邮件,无需其他点击操作,恶意指令代码即可被用户主机加载执行,具有较高的攻击隐蔽性。攻击者继而利用其他漏洞,在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。
二、漏洞影响范围
受影响版本为7.2<windowsfoxmail<7.2.25.372< span="">
三、建议措施
目前,腾讯公司已发布Foxmail新版本修复该漏洞,用户可通过“检查新版本”或自动更新方式升级到最新版本。攻击者通常使用社会工程学等手段,对恶意邮件的标题、内容及附件进行伪装,诱骗用户点击访问,建议各位师生做好安全防御措施,警惕钓鱼邮件攻击,不要打开来历不明的邮件。
