Foxmail作为著名的邮件客户端软件，在国内用户心目中的地位绝对不亚于微软的Outlook Express。一方面是因为它有很好的易用性，另一方面在于它是为数不多的国产优秀共享软件。不过，也正因为它诞生的“家庭背景”根本就无法与Outlook Express相比，因此，当它作为个人软件存在时，可以称得上非常出色。但随着用户的增多，它存在的很多本地安全性问题就一一暴露了出来。不过，在近日传出的Foxmail 5.0存在远程安全漏洞的消息，仍然让Foxmail的使用者吃了一惊——在“内忧外患”的双重作用下，Foxmail的安全性是否真的像有些安全界人士说的那样，成了“漏勺”？对于Foxmail的忠实用户而言，Foxmail是否会因此而成为“鸡肋”？

　　Foxmail惊现远程安全漏洞

　　3月19日，北京启明星辰公司向外界发出一封通告信，称其积极防御实验室（ADLUB）的安全专家发现了Foxmail5.0（受影响的版本：Foxmail5.0 beta1、Foxmail5.0 beta2和Foxmail5.0）的一个严重安全漏洞，攻击者可以利用恶意构造的邮件来攻击收件人，如果攻击者成功地利用了该漏洞，将可以远程获得系统权限。启明星辰的安全专家描述说，在新版本的Foxmail5.0中，引入了一个第三方的组件punylib.dll。Foxmail5.0采用该DLL中的函数对邮件头进行处理，在处理邮件头的时候punylib.dll存在一个缓冲区边界检查错误。

　　另外，启明星辰公司对搜狐IT表示，在发现该漏洞后，该公司立即进行了针对性研究，并很快提供了补丁程序以解决问题。启明星辰还透露，它们已经就此事和Foxmail的拥有者博大公司取得了联络，并向对方提供了有关解决方案。

　　Foxmail开发者的声明

　　在启明星辰对Foxmail出现的这个漏洞向外界发出通告信后，博大国际互联网有限公司技术总监、Foxmail创始人张小龙在承认此次漏洞存在的同时，以“启明星辰公司有故意商业炒作之嫌疑”做出了回应，他表示：“启明星辰主动向媒体发布这条消息，不仅夸大事实，而且显然是有意的商业炒作行为，启明星辰无非是想利用Foxmail在国内巨大的名气来提升自身的形象和知名度，炒作的程度比较大”。

　　张小龙在给搜狐IT的电话里强调，启明星辰提到的攻击只存在理论上的可能性。他说：“因为经过我们研究，实际上只有将恶意代码写入发件人地址栏上，同时收件人对该邮件进行回复时，才会有问题。但恶意代码写到发件人地址栏会很长，而且内容会非常奇怪，这种陌生的邮件谁会去打开并回复呢？”他还指出：“事实上，这个漏洞并非Foxmail5.0程序本身的缺陷，而是外挂的一个中文域名系统造成的，并且提供该中文域名系统的单位已经给博大一个新的版本，问题已经得到解决了。”

　　张小龙还解释说：“实际上，Foxmail5.0客户端的这个漏洞并不为人所知，并且一般情况下，谁会去攻击客户端呢？启明星辰这么一闹，大家都知道了，其实是让Foxmail5.0用户遭到攻击的可能性大大增加了。”

　　据了解，Foxmail5.0使用的中文域名系统目的是帮助Foxmail5.0处理中文邮件。鉴于启明星辰大张旗鼓地向媒体宣传此事，张小龙表示，如果事态进一步发展，他们不排除让CNNIC出面解决此事的可能，因为毕竟这个问题是因为使用CNNIC的产品造成的。