Foxmail作为著名的邮件客户端软件,在国内用户心目中的地位绝对不亚于微软的Outlook Express。一方面是因为它有很好的易用性,另一方面在于它是为数不多的国产优秀共享软件。不过,也正因为它诞生的“家庭背景”根本就无法与Outlook Express相比,因此,当它作为个人软件存在时,可以称得上非常出色。但随着用户的增多,它存在的很多本地安全性问题就一一暴露
了出来。不过,在近日传出的Foxmail 5.0存在远程安全漏洞的消息,仍然让Foxmail的使用者吃了一惊——在“内忧外患”的双重作用下,Foxmail的安全性是否真的像有些安全界人士说的那样,成了“漏勺”?对于Foxmail的忠实用户而言,Foxmail是否会因此而成为“鸡肋”?
Foxmail惊现远程安全漏洞
3月19日,北京启明星辰公司向外界发出一封通告信,称其积极防御实验室(ADLUB)的安全专家发现了Foxmail5.0(受影响的版本:Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0)的一个严重安全漏洞,攻击者可以利用恶意构造的邮件来攻击收件人,如果攻击者成功地利用了该漏洞,将可以远程获得系统权限。启明星辰的安全专家描述说,在新版本的Foxmail5.0中,引入了一个第三方的组件punylib.dll。Foxmail5.0采用该DLL中的函数对邮件头进行处理,在处理邮件头的时候punylib.dll存在一个缓冲区边界检查错误。
另外,启明星辰公司对搜狐IT表示,在发现该漏洞后,该公司立即进行了针对性研究,并很快提供了补丁程序以解决问题。启明星辰还透露,它们已经就此事和Foxmail的拥有者博大公司取得了联络,并向对方提供了有关解决方案。
Foxmail开发者的声明
在启明星辰对Foxmail出现的这个漏洞向外界发出通告信后,博大国际互联网有限公司技术总监、Foxmail创始人张小龙在承认此次漏洞存在的同时,以“启明星辰公司有故意商业炒作之嫌疑”做出了回应,他表示:“启明星辰主动向媒体发布这条消息,不仅夸大事实,而且显然是有意的商业炒作行为,启明星辰无非是想利用Foxmail在国内巨大的名气来提升自身的形象和知名度,炒作的程度比较大”。
张小龙在给搜狐IT的电话里强调,启明星辰提到的攻击只存在理论上的可能性。他说:“因为经过我们研究,实际上只有将恶意代码写入发件人地址栏上,同时收件人对该邮件进行回复时,才会有问题。但恶意代码写到发件人地址栏会很长,而且内容会非常奇怪,这种陌生的邮件谁会去打开并回复呢?”他还指出:“事实上,这个漏洞并非Foxmail5.0程序本身的缺陷,而是外挂的一个中文域名系统造成的,并且提供该中文域名系统的单位已经给博大一个新的版本,问题已经得到解决了。”
张小龙还解释说:“实际上,Foxmail5.0客户端的这个漏洞并不为人所知,并且一般情况下,谁会去攻击客户端呢?启明星辰这么一闹,大家都知道了,其实是让Foxmail5.0用户遭到攻击的可能性大大增加了。”
据了解,Foxmail5.0使用的中文域名系统目的是帮助Foxmail5.0处理中文邮件。鉴于启明星辰大张旗鼓地向媒体宣传此事,张小龙表示,如果事态进一步发展,他们不排除让CNNIC出面解决此事的可能,因为毕竟这个问题是因为使用CNNIC的产品造成的。
回顾Foxmail本地安全漏洞
如果说这次发现的漏洞对普通用户来说还比较“遥远”的话,那么在此之前几乎尽人皆知的Foxmail客户端软件安全问题,就值得普通用户加以重视了。
1.发送邮件畅通无阻
我们都知道,在Foxmail中可以为账户加密。假设我们现在为账户“Fox”加了密码,然后在网页上随便找个E-mail地址的链接点击,就可以直接进入Foxmail的“写邮件”窗口。填写完内容后,直接单击工具栏上的“发送”按钮,你会发现邮件已经开始发送了,在这个过程中,Foxmail没有要求用户输入任何密码!
显然,采用这种方式,任何未经授权、不掌握密码的用户,只要能够用你的电脑,就能够冒用你的邮箱,以你的名义给任何人发送邮件!
2.破解密码易如反掌
如果说发送邮件畅通无阻对我们的个人安全还不会构成很大威胁的话,那么如果邮箱密码被轻松破解的话,我们的个人邮件可就无所遁形了!
事实上,在Foxmail 5.0中,我们只需一点小小的设置,即可看到他人所有收发的邮件,地址簿信息也一览无余!
我们仍然以“Fox”账户为例。先确认关闭Foxmail 5.0,然后打开“资源管理器”,查找Foxmail 5.0中“Fox”账户的文件夹(一般位于\Foxmail\Mail\Fox),将Account.stg文件删除。重新启动Foxmail 5.0,你会发现,现在根本不需要输入密码就可以直接打开加密的账户!既然大门已经敞开了,那么要拿什么东西,就随你的便了:查看、删除、转发邮件自然不在话下,单击工具栏上的“地址簿”可以将收藏的邮件地址一览无余,甚至还可以执行“账户→删除”命令,将该账户直接删除!
Foxmail渐成鸡肋?
微软研究院高级研究员Jim Laruf曾说过:“人类开发计算机软件已经50多年了,但软件产品依然满是漏洞。我们的开发工具已经越来越好,但用这些工具撰写的代码却没有反映出这种进步。”的确,现在几乎每周我们都能看到商业软件有重大漏洞出现。
但是,对于Foxmail客户端软件在本地安全上存在的重大安全问题,用户们也不得不考虑。虽然在当初开发软件时,张小龙以一己之力无法过多地关注亦成根本没有考虑到软件的安全问题,但随着Foxmail知名度越来越大,用户越来越多,其安全性问题势必会产生很大的影响。尤其是Foxmail这个品牌现在已经被Foxmail商业版软件使用,虽然这次曝光的漏洞已经被补上,但该漏洞的发现对Foxmail品牌的影响绝对不可低估。
事实上,对于软件错误的修补,在软件开发的不同阶段其成本是不一样的。在软件业一个有这样一个通用的比喻:假设修正一个软件错误的花费在开发阶段要10美元;那么质量控制阶段需要100美元;在Beta版测试期间为1000美元;而到软件部署以后再来修正,则高达1万美元。这里的错误指的还仅仅是一些普通的漏洞,对Foxmail,要彻底解决其本地安全问题,需要投入的恐怕会更多。虽然对于今天仍然在走免费路线的Foxmail客户端软件来说,用户无法过多地求全责备。但如果这些问题无法得到有效的解决,Foxmail也许会成为用户眼中的“鸡肋”。