赛门铁克发现了一种新漏洞,这种漏洞对30多种常用的电邮应用程序带来影响。网络攻击者可借此假冒发件人地址,在某些情况下还可执行跨站脚本(XSS)和代码注入攻击。“Mailsploit” 是多个影响电子邮件客户端的漏洞的统称,这些客户端包括Microsoft Outlook 2016、Windows 10邮件应用、Apple Mail(包含macOS、iOS和watchOS版本)、Mozilla Thunderbird和iOS及安卓版的Yahoo Mail。
网络安全研究人员Sabri Haddouche发现了Mailsploit,并于12月5日(星期二)发表了他的研究成果。Haddouche声称在33种不同的产品中发现了Mailsploit,并得以证实。
Mailsploit是什么?
若网络攻击者成功利用此漏洞,便可伪造电子邮件的来源地址。该漏洞能够利用RFC-1342的错误执行(RFC-1342是在邮件标题显示非ASCII文本的推荐标准,已有25年的历史),使网络攻击者能够创建标题并在“发件人”栏中插入各种字节,以便掩盖真正的发件人。
如果邮件来自受信来源,那么收件人就更可能将其打开,这也就增加了网络攻击者成功向目标发送恶意电邮的几率。
假冒电邮标题在原来很简单,但后来推出了很多新的安全措施,如基于域的消息认证、报告和一致性(DMARC),很好地箝制了这种做法。Mailsploit使网络攻击者能够制造欺诈邮件并绕过DMARC的检测。
此外,对于某些受影响的电邮客户端来说,Mailsploit可执行代码注入和跨XSS攻击。相关客户端包括Spark(MacOS和iOS的邮件客户端)、MacOS版的Polymail和Airmail,以及TypeApp和AquaMail等手机应用程序。
受影响软件的修补状态
迄今为止,已有8种产品就Mailsploit进行修补,还有12个产品正在修补之中。Mozilla和Opera这两家供应商声称将不会去修补这个漏洞,其认为该漏洞术语服务器侧的问题。Apple Mail、Windows邮件应用和Outlook 2016都在修补之列。iOS及安卓版的Yahoo Mail已修复了这个漏洞。
了解所有受影响产品和修补状态,请单击此处。
Symantec Email Security.cloud和Symantec Messaging Gateway(SMG)的消息过滤功能并没有受到www.mailsploit.com报道的任何漏洞的影响。对于普通的消息处理和发件人认证来说,我们不会试图去解码标题“发件人”中的局部电邮地址。赛门铁克的产品也不容易受到这些漏洞有关XSS/代码注入的影响。
保护
为了保护用户免受上述攻击,赛门铁克采取了以下保护:
Skeptic
- Exploit/Phishing.Mailsploit