漏洞描述:截止2008.9.25日为止,经过天融信攻防实验室验证,发现大量国内的邮箱系统存在跨站漏洞,
由于邮箱程序对于用户提交的数据缺少相关过滤,黑客可以通过构造有恶意代码的邮件,
对使用Web浏览器浏览该邮件的用户发起攻击,对于使用其他邮件客户端的用户不构成威胁。
目前天融信攻防实验室正在与相关厂商联系,及时修补这个问题。
受影响的系统:
目前经过验证存在跨站漏洞的邮件系统包括:
qq.com sohu.com vip.sohu.com 163.com 263.net 126.com yeah.net
188.com vip.163.com 21cn.com mail.sina.net mail.china.com eyou.com hotmail.com
解决方案:
等待厂商升级邮箱程序。
临时解决办法:
1、避免用Web浏览器打开邮件,使用Outlook/Foxmail等邮件客户端来收发邮件。
2、采用Web浏览器打开邮件时,正文设置为纯文本方式(TXT)。
From:http://www.topsec.com.cn/webnews.php?id=162
本文还暂无回复