一、漏洞详情
Foxmail是一款由腾讯公司开发的非常流行的电子邮件客户端软件,可以免费下载。
近日,国家信息安全漏洞共享平台(CNVD)收录Foxmail邮件客户端跨站脚本攻击漏洞。由于Foxmail在处理加载邮件正文时,对危险内容的过滤处理逻辑存在缺陷,攻击者构造包含恶意指令代码的电子邮件向目标用户发送,目标用户仅需使用Foxmail打开恶意邮件,无需其他点击操作,恶意指令代码即可被用户主机加载执行,具有较高的攻击隐蔽性。攻击者继而利用其他漏洞,在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Foxmail for Windows <= 7.2.25.331
三、修复建议
现Windows Foxmail官网已更新,目前所有受影响Windows用户均可通过自动更新机制或手动升级到最新版完成安全修复。