过去几个月，Mozilla 旗下安全电子邮件客户端“雷鸟”（Thunderbird）被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956，影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低，但开发者还是努力在新版中实施了修复， 几周前，Mozilla E2EE 邮件列表中的用户发现，他们可在无需输入主密码的情况下，直接查看受 OpenPGP 加密保护的电子邮件。而按照正常的功能逻辑，查看前是必须先进行用户身份验证的。...

近日，德国安全研究员 Sabri Haddouche 发现了存在于 33 个邮件客户端中的多个漏洞，可以让任意用户伪造身份发送欺诈邮件并绕过反欺诈保护机制（如 DMARC 等）和多种垃圾邮件过滤器。Sabri 把这些漏洞统称为 MailSploit 漏洞， 通过 MailSploit 漏洞，黑客可以利用邮件客户端和 web 交互页面对“ From ”头的字符编码方式进行恶意攻击。大量邮件客户端会采用 RFC-1342 编码字符串，并解码为非 ASCII 字符，但随后不会清洁检查是否存在恶意代码。...