惡意攻擊者可以發(fā)送包含惡意代碼的郵件到用戶的新浪郵箱，當(dāng)用戶打開該郵件時，郵件中的惡意代碼即被觸發(fā)，最終攻擊者可以獲得新浪郵箱的控制權(quán)限。于此同時，如果攻擊者構(gòu)造的惡意代碼包含瀏覽器或?yàn)g覽器輔助項(xiàng)（BHO，Browser Helper Object）漏洞攻擊代碼，攻擊者甚至可以獲得用戶操作系統(tǒng)的控制權(quán)限。

    知道創(chuàng)宇發(fā)現(xiàn)新浪郵箱最新漏洞

    據(jù)了解，在線的郵件服務(wù)已成為跨站腳本攻擊及惡意釣魚攻擊的重災(zāi)區(qū)。知道創(chuàng)宇建議廣大網(wǎng)民盡量使用專業(yè)的郵件客戶端查收郵件，避免使用在線郵件服務(wù)。在使用在線郵件服務(wù)時應(yīng)盡量做到以下幾點(diǎn)：

    1. 盡量避免打開陌生人的郵件；

    2. 每次使用完郵箱后，及時點(diǎn)擊"退出"注銷客戶端憑證；

    3. 不要在郵件彈出的登錄框中輸入你的密碼，以防止惡意釣魚攻擊。

    知道創(chuàng)宇在發(fā)現(xiàn)漏洞的第一時間通知了新浪安全部門，并告知了新浪郵箱漏洞的全部細(xì)節(jié)。新浪安全研究人員積極修補(bǔ)該漏洞，并對知道創(chuàng)宇及時通報(bào)漏洞、保護(hù)網(wǎng)民的專業(yè)態(tài)度表示感謝。

    未來，知道創(chuàng)宇愿繼續(xù)用專業(yè)的產(chǎn)品和服務(wù)，和業(yè)界各大公司一起，為提高中國的互聯(lián)網(wǎng)安全水平不斷努力，打造"更好更安全的互聯(lián)網(wǎng)"。