知道创宇发现新浪邮箱最新漏洞

企业动态
近日,北京知道创宇信息技术有限公司(以下简称"知道创宇")的安全研究人员发现,国内互联网门户网站--新浪的邮箱系统存在一个严重的存储型XSS(Cross Site Script,跨站脚本)漏洞,该漏洞是由于新浪邮件系统对邮件中的恶意代码过滤不完全导致的。

 恶意攻击者可以发送包含恶意代码的邮件到用户的新浪邮箱,当用户打开该邮件时,邮件中的恶意代码即被触发,最终攻击者可以获得新浪邮箱的控制权限。于此同时,如果攻击者构造的恶意代码包含浏览器或浏览器辅助项(BHO,Browser Helper Object)漏洞攻击代码,攻击者甚至可以获得用户操作系统的控制权限。

知道创宇发现新浪邮箱最新漏洞

    知道创宇发现新浪邮箱最新漏洞

    据了解,在线的邮件服务已成为跨站脚本攻击及恶意钓鱼攻击的重灾区。知道创宇建议广大网民尽量使用专业的邮件客户端查收邮件,避免使用在线邮件服务。在使用在线邮件服务时应尽量做到以下几点:

    1. 尽量避免打开陌生人的邮件;

    2. 每次使用完邮箱后,及时点击"退出"注销客户端凭证;

    3. 不要在邮件弹出的登录框中输入你的密码,以防止恶意钓鱼攻击。

    知道创宇在发现漏洞的第一时间通知了新浪安全部门,并告知了新浪邮箱漏洞的全部细节。新浪安全研究人员积极修补该漏洞,并对知道创宇及时通报漏洞、保护网民的专业态度表示感谢。

    未来,知道创宇愿继续用专业的产品和服务,和业界各大公司一起,为提高中国的互联网安全水平不断努力,打造"更好更安全的互联网"。

责任编辑:彭凡
相关推荐

2015-08-24 11:38:02

知道创宇

2009-08-15 10:34:14

安全邮件管理Windows Liv

2016-04-21 15:58:23

2014-11-04 10:30:32

新浪微博可登录任意账户

2013-01-09 14:17:59

2014-12-25 18:16:00

2021-05-28 16:29:28

RSAC 2021/数

2016-04-18 14:59:59

2020-11-02 19:28:23

金融

2016-06-12 16:55:03

2012-06-04 10:04:26

2014-12-25 09:51:32

2017-05-13 21:34:14

勒索攻击蠕虫勒索软件

2015-06-02 17:32:36

2017-04-28 17:47:55

2018-07-20 17:24:03

Oracle

2018-08-06 17:47:00

2021-07-22 14:23:41

华为云知道创宇安全内容分发网络

2021-07-12 07:04:08

漏洞发现工具黑客安全工具

2012-03-27 10:16:48

点赞
收藏

51CTO技术栈公众号