FoxMail的Bug一览

网络与通信

王斐

FoxMail这个软件在国内的使用率很高，但也存在不少Bug，所以提高用户的安全意识是迫不及待了。

Bug 1：暴露信件

侵略A：新建一个账户，然后展开(这一步一定要做)。在“资源管理器”，将foxmail\mail\被攻击者名字\account.stg文件拷贝到你新建的账户文件夹中。切换到FoxMail，选取新建的账户，看看信箱里的邮件是不是完全暴露无余？
侵略B：用记事本打开in.box文件，虽然有些乱码，但是信件的源文件看得清清楚楚，由此可见，in.box文件会直接暴露收件箱里的信件。
建议：及时删除重要的信件，或者在信件加密上下功夫。

Bug 2：暴露密码

侵略A：新建一个账户，然后展开。在“资源管理器”，将FoxMail\Mail\被攻击者\account.stg文件拷贝到你新建的账户文件夹中。切换到FoxMail，选取新建的账户，点击“属性”，选择“邮件服务器”，别人的收发信的服务器及密码都显示出来了(因为大多数人为了收发信方便，将密码选择了保存)，只是密码是用*号表示的，这有何难？现在查看*号密码的黑客工具多的是，假如别人还设置了“其他POP3”收信，那么他的其他信箱也随之泄密了。
侵略B：现在的用户离开机子时，常常忘了关闭一些自己使用的程序，如果你使用了FoxMail，但是离开时却没有关闭，那么你收信时的密码就存储在内存中。任何一个人只要用账户转换的方法，然后点击收信就可以处理你的信件，如果配上一个密码嗅探工具，还可得到你的密码。
建议：不选择“自动保存密码”，离开时选择“自动清除内存口令”。

Bug 3：无效的访问口令

侵略：新建一个账户，然后展开。在“资源管理器”，将foxmail\mail\被攻击者\account.stg文件拷贝到你新建的账户文件夹中。切换到FoxMail，选取新建的账户，右击“访问口令”，你就可以随便修改“访问口令”了。可能你会说，不是设置了“访问口令”吗？是的，它也的确存在于account.stg文件中，但新建的账户是展开的，只有它关闭后才会起作用，当然，你要进一步修改他的“访问口令”也是没问题的。FoxMail 3.0版本的账户访问口令是在账户关闭后有效，而FoxMail 4.0 beta2则是在关闭FoxMail后有效，因此FoxMail 4.0 beta2在访问口令这一点，还没有3.0版本做得好！
建议：程序作者将修改“访问口令”添加“旧口令校验”

Bug 4： ActiveX漏洞

侵略：当用户浏览嵌入了未签名ActiveX控件的HTML格式邮件时，此ActiveX控件首先被保存在了一个用户本地的临时文件夹中，并以本地文件身份获得很低的安全性限制，从而在没有任何提示的情况下在用户计算机上被注册并运行。这相当于恶意攻击者通过邮件的方式欺骗了IE的安全检验机制，在用户计算机上埋下──甚至是直接引爆了一枚软件“炸弹”。
建议：尽量不使用HTML方式查看邮件，尽量使用能够监控FoxMail邮件的防病毒程序。
笔者推荐：大家使用FoxMail后将账户文件全部删除是最保险的方法，或者在建立账户时，邮箱路径不要选择默认，而是输入一个如C：\Windows\System……自己的路径，哈哈！这些系统文件夹，谁敢乱动？再保险一点，找到你新建的信箱文件夹后，将“属性”设为隐藏，别人想找你的文件夹也就是大海捞针了。
当然程序作者是我们最大的希望寄托者，其实用户名账户管理不是一个很好的办法，如果作者能够参考一下263的Wingbox的账户管理方法，或许能使软件得到进一步的安全保障！
FoxMail目前已经推出另外4.1版本，据称已解决绝大部分的Bug，大家可自行升级。