【IT168资讯】近日,北京知道创宇信息技术有限公司(以下简称“知道创宇”)的安全研究人员发现,国内互联网门户网站——新浪的邮箱系统存在一个严重的存储型XSS(Cross Site Script,跨站脚本)漏洞,该漏洞是由于新浪邮件系统对邮件中的恶意代码过滤不完全导致的。恶意攻击者可以发送包含恶意代码的邮件到用户的新浪邮箱,当用户打开该邮件时,邮件中的恶意代码即被触发,最终攻击者可以获得新浪邮箱的控制权限。于此同时,如果攻击者构造的恶意代码包含浏览器或浏览器辅助项(BHO,Browser Helper Object)漏洞攻击代码,攻击者甚至可以获得用户操作系统的控制权限。
▲
知道创宇发现新浪邮箱最新漏洞
据了解,在线的邮件服务已成为跨站脚本攻击及恶意钓鱼攻击的重灾区。知道创宇建议广大网民尽量使用专业的邮件客户端查收邮件,避免使用在线邮件服务。在使用在线邮件服务时应尽量做到以下几点:
1. 尽量避免打开陌生人的邮件;
2. 每次使用完邮箱后,及时点击“退出”注销客户端凭证;
3. 不要在邮件弹出的登录框中输入你的密码,以防止恶意钓鱼攻击。
知道创宇在发现漏洞的第一时间通知了新浪安全部门,并告知了新浪邮箱漏洞的全部细节。新浪安全研究人员积极修补该漏洞,并对知道创宇及时通报漏洞、保护网民的专业态度表示感谢。
未来,知道创宇愿继续用专业的产品和服务,和业界各大公司一起,为提高中国的互联网安全水平不断努力,打造“更好更安全的互联网”。
