周报

  1. 网络安全供应商 watchTowr 本月 8 日报告, SmarterTools 出品的电子邮件服务器软件 SmarterMail 发现一个身份验证绕过漏洞, 允许攻击者强制重置管理员密码来夺取权限, 还能在远程主机上实现远程代码执行, SmarterMail 于 15 日发布了包含修复补丁的 Build 9511 版本, 两天之后研究人员发现攻击者开始利用该漏洞. 该漏洞被标记为 CVE-2026-23760, 评级为 "严重(critical)", 评分 9.3/10. [1]
  2. bichon 是一款使用 Rust 编写的全新电子邮件归档和检索服务器软件, 代码在 AGPL-3.0 许可下开源. 同时开发者还开发了邮件服务器中间件 rustmailer, 允许通过其管理大量邮件账户(IMAP, SMTP 和 Gmail API)并通过统一的 API 接收和发送电子邮件, rustmailer 提供开源代码, 需要付费许可. [2]
  3. Cloudflare 的电子邮件发送服务现在已经结束内部测试, 开始进入公开测试阶段, 平台用户可以通过 Cloudflare 仪表盘的 "构建" - "计算和 AI" - "电子邮件服务" - "电子邮件发送" 找到入口并加入候补名单. [3]
  4. 本月 24 日, 大量 Gmail 用户报告 Gmail 的自动过滤功能失效, 导致大量本应该被归入 "推广" 和 "动态" 等分类的邮件直接放入了主要邮件视图中, 导致用户的收件箱被这些不重要邮件占满, 问题持续十多个小时, 现已经恢复. [4]
  5. 据朝日新闻报道, 本月 23 日, 日本农林水产省的员工在通过电子邮件处理税务相关事务的时候将税款预扣单信息发送到了错误的电子邮件地址, 导致该部门 2596 名员工及 4571 名员工家属的个人信息遭到外泄, 该部门已向受影响的员工及员工家属发送书面道歉, 承诺改进通过电子邮件发送个人信息的做法以杜绝此类事件再次发生, 部门还考虑对涉事人员进行处分. [5]
  6. 密码管理器供应商 LastPass 本月 20 日发布威胁情报, 提醒用户近期出现的一起针对 LastPass 用户发起的钓鱼邮件活动. 攻击者冒充 LastPass 提醒用户服务即将进入维护状态, 需要在二十四小时内备份密码库, 指引按钮则指向一个 AWS S3 储存桶的链接, 该链接又重定向到钓鱼网站. [6]
  7. 本月 23 日, 有 Lark(飞书国际版) 用户报告收到了 Lark 官方的通知邮件, 称为了 "持续优化平台基础设施并确保服务效率", 将关闭用户的 Lark 账户, 并要求用户如果需要继续使用 Lark 则需要导出关停的账户的数据并重新导入新注册的账户. 根据用户报告来看, 被停用的账号数据驻留区域位于基本都在美国, 并且新建账户也已经无法创建数据驻留区域位于美国的 Lark 企业组织. [7]

注释

  1. SmarterMail auth bypass flaw now exploited to hijack admin accounts ↩︎

  2. rustmailer/bichon: Bichon – A lightweight, high-performance Rust email archiver with WebUI ↩︎

  3. 构建 | 计算和 AI | 电子邮件服务 | 电子邮件发送 | Cloudflare ↩︎

  4. Gmail's Promotional and Update inboxes seem to be broken ↩︎

  5. 農水省、職員ら4500人情報流出 マイナンバーなどの送信先間違え:朝日新聞 ↩︎

  6. New Phishing Campaign Targeting LastPass Customers ↩︎

  7. Nostr@cxplay ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~