3月19日,启明星辰公司向搜狐IT发来一封通告信,称其积极防御实验室(ADLUB)的安全专家紧急发现了Foxmail5.0的一个严重安全漏洞,攻击者可以利用恶意构造的邮件来攻击收件人,如果攻击者成功的利用了该漏洞,将可以远程获得系统权限...
对此,FoxMail软件的开发者、博大公司技术总监张小龙对外表示,启明星辰是在为了商业利益而故意炒作！FoxMail出现严重漏洞 权限能被远程盗取
启明星辰表示，该漏洞是Foxmail5.0 Punylib.dll邮件头解析缓冲区溢出的严重安全漏洞，受影响的版本包括：Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0，但对于Foxmail4.*没有影响。
　　启明星辰的安全专家描述说，在新版本的Foxmail5.0中, 引入了一个第三方的组件punylib.dll。Foxmail5.0采用该DLL中的函数对邮件头进行处理, 在处理邮件头的时候punylib.dll存在一个缓冲区边界检查错误。
　启明星辰对搜狐IT表示，在发现该漏洞后，该公司立即进行针对性研究，并很快提供了补丁程序以解决问题。另外，启明星辰还透露，他们已经就此事跟Foxmail的拥有者博大公司取得了联络，并向对方提供了有关解决方案。
张小龙:FoxMail漏洞不严重 对方故意炒作
张小龙表示，启明星辰提到的Foxmail5.0的漏洞的确存在，并且启明星辰也的确在事后向Foxmail目前的拥有者博大公司提供了补丁程序，但是，启明星辰主动向媒体发布这条消息，不仅夸大事实，而且显然是有意的商业炒作行为。
　　张小龙说，启明星辰无非是想利用Foxmail在国内巨大的名气来提升自身的形象和知名度，炒作的程度比较大。
　　张小龙强调，启明星辰提到的攻击只存在理论上的可能性。“因为经过我们研究，实际上只有将恶意代码写入发件人地址栏上，同时收件人对该邮件进行回复时，才会有问题。但恶意代码写到发件人地址栏会很长，而且内容会非常奇怪，这种陌生的邮件谁会去打开并回复呢？”
　　“事实上，这个漏洞并非Foxmail5.0程序本身的缺陷，而是外挂的一个中文域名系统造成的，并且提供该中文域名系统的单位已经给博大一个新的版本，问题已经得到解决了。”张小龙解释说：“而实际上，Foxmail5.0客户端的这个漏洞并不为人所知，并且一般情况下，谁会去攻击客户端呢？启明星辰这么一闹，大家都知道了，其实是让Foxmail5.0用户遭到攻击的可能性大大增加了。”
　　据了解，Foxmail5.0使用的中文域名系统是CNNIC提供的，目的是帮助Foxmail5.0处理中文邮件。CNNIC暂时没有对该事件作出反应。
　　鉴于启明星辰大张旗鼓地向媒体宣传此事，张小龙表示，如果事态进一步发展，他们不排除让CNNIC出面解决此事的可能，因为毕竟这个问题是因为使用CNNIC的产品造成的。