周报

  1. 本月 8 日, 安全研究员发布有关 Roundcube Webmail 的远程资源加载漏洞, 攻击者如果在 SVG 里面设置 <feImage> 标签就能指示 SVG 解析器加载 href 属性里面的资源, 绕过了用户的 Webmail 远程资源加载偏好, 这是由于 SVG 的规范复杂性同时 Roundcube 的 HTML 清洗逻辑里面未包含对该标签的处理导致的. 该漏洞已被分配编号 CVE-2026-25916. [1]
  2. 本月 13 日, 新兴加密邮件服务商 Atomic Mail 推出 Plus 付费套餐, 提供临时收件地址, 额外别名, 高级客户支持和完整 AI 功能, 定价为 US$5.99 每个月或 US$59.88 每年. 同时也开始销售四位长度的保留短位别名, 还表示未来会开放销售三位长度的别名. [2]
  3. 本月 5 日开始, Exchange Online 出现错误隔离合法邮件为垃圾邮件的问题, Microsoft 调查之后在报告中解释为这是由于数千个合法的 URL 被错误标记为钓鱼链接, 该问题直到 12 日才得到完全解决, 事件编号分配为 EX1227432. [3]
  4. 自 1 月份以来, Microsoft Office 被发现存在漏洞使得 Copilot 能够绕过机密标签的标记读取并总结组织用户的敏感电子邮件, 即使组织管理员已经设置了数据防丢失保护(DLP)也无济于事. Microsoft 表示 2 月初已经开始逐步推出针对该漏洞的修复补丁, 事件编号分配为 CW1226324. [4]

注释

  1. Roundcube Webmail <1.5.13 / <1.6.13 allows attackers to force remote image loads via SVG feImage — NULL CATHEDRAL ↩︎

  2. Atomic Mail (Discord) ↩︎

  3. Microsoft: Anti-phishing rules mistakenly blocked emails, Teams messages ↩︎

  4. Microsoft says Office bug exposed customers' confidential emails to Copilot AI | TechCrunch ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~