研究者披露电邮地址编码漏洞Mailsploit

德国安全研究人员SabriHaddouche发现使用RFC-1342的电子邮件地址编码漏洞,将其称为Mailsploit。Haddouche发现大量的电子邮件客户端会采用RFC-1342编码的字符串,将其解码为非ASCII码,并且之后不会对其检查。具体来看,对于“From: =?utf-8?b?cG90dXNAd2hpdGVob3VzZS5nb3Y=?==?utf-8?Q?=00?==?utf-8?b?cG90dXNAd2hpdGVob3VzZS5nb3Y=?=@mailsploit[.]com”,将解码为“From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit[.]com”,将忽略真正的邮件域名@mailsploit[.]com。目前有33个邮件客户端受影响。