周报
- Java 网络应用框架 Netty 披露 0day 漏洞 CVE-2025-59419, 该漏洞允许攻击者将任何 SMTP 命令注入到邮件传输中, 从而绕过 SPF, DKIM 和 DMARC 等邮件安全措施. [1]
- Microsoft 365 Copilot 发现新的 LLM 提示词注入漏洞, 攻击者通过在 Office 文档中写入隐藏的恶意指令使得 Copilot 被操纵获取受害者的最近电子邮件内容然后编码到链接中并生成 Mermaid 元素诱骗受害者点击, 一旦点击则数据将被传输到攻击者控制的外部服务器. [2]
- 马恩岛电信公司结束提供了长达 25 年的免费电子邮件服务, 从 10 月 21 日开始岛民如果想要继续使用 @manx.net, @isleofman.com 或 @isleofman.org 地址的电子邮件服务需要向新的供应商支付订阅费用, 价格为每年 65 英镑或每月 6.5 英镑. [3]
- 安全博客 KrebsOnSecurity 发现使用的 Zendesk 服务被滥用, 匿名的访客通过创建大量的匿名支持工单使 Zendesk 自动发送了同等数量的邮件到博主的支持座席邮箱中. Zendesk 为了方便客户发起支持请求, 允许访客匿名创建工单无需任何验证, 而 Zendesk 也不会验证访客创建工单使用的回复邮件地址是否真实, 在支持座席看到的自动邮件会将这个未经验证的邮件地址直接作为邮件的回复指向地址. [4]
- Microsoft 修复了九月出现的 Outlook 经典版客户端登录问题(参见周报 Vol.30 第四条), 对于无法打开客户端的用户 Microsoft 也提供了用户文档按步骤操作解决问题, 涉及手动的 Outlook 数据文件修复操作. [5]
注释
Netty Zero-Day Vulnerability Allows Attackers Bypass Defenses Via Crafted Email ↩︎
Microsoft 365 Copilot Vulnerability Enables Attackers to Exfiltrate Sensitive Emails ↩︎
Manx.net users to pay £65 a year as email service moves to new provider | Isle of Man Today ↩︎
Email Bombs Exploit Lax Authentication in Zendesk – Krebs on Security ↩︎
Microsoft fixes bug preventing users from opening classic Outlook ↩︎
