U-Mail 被曝重大安全漏洞，政企机密或受威胁

近日，知道创宇安全研究团队公布了一则消息：于 2014 年 5 月份在 WooYun 安全漏洞提交平台上爆出的 U-Mail 邮件系统严重安全漏洞在其系统被紧急升级后仍然存在，从该平台显示的漏洞细节来看，其现危害依然十分严重，甚至有可能威胁到政府或者企业的机密信息。

据悉，最新版本号为（V9.8.57）的 U-Mail 邮件系统当前依然存在重大的漏洞风险——黑客可以通过攻击相关漏洞，获取指定邮箱账户的明文密码，进而成功登陆相关邮箱，获取邮箱所有信息。U-Mail 邮箱有3个文件涉及漏洞，目前官方提供的该系统升级后版本仅修复了其中1个文件的漏洞，而另外2个文件的漏洞则依然存在，属于 0day 安全漏洞。【注释：中文版里也带有繁体和英文的文件，一样可以被攻击。】

【安全人员验证 U-Mail 邮箱明文密码泄露图示】

U-Mail 邮件系统是一款主要针对企业和政府事业单位的邮件系统。知道创宇通过自主研发的网络空间搜索引擎 ZoomEye 对国内所有使用 U-Mail 邮件系统站点进行检测发现，当前存在此漏洞的站点验证成功率高达31.36%。在确认存在此漏洞的431个站点中，不乏国内一些特别重要的政府和企业站点。由此，该漏洞的存在所意味着的风险不言而喻。

在获知该严重安全漏洞的第一时间，知道创宇安全研究团队立即启动了应急响应流程，现以把漏洞相关细节报告给官方及有关单位 ，并发布应急响应指南，给出了相关修复建议。在此，知道创宇提醒相关受漏洞高风险波及的网站，可联络知道创宇技术团队或直接前往知道创宇公司官方产品“创宇盾”页面（webmail.365cyd.com）寻求技术支持，及时消除漏洞风险。