我尝试向某人发送一封带有 PNG 格式图像附件的电子邮件,但是被他们的电子邮件过滤软件 (messagelabs) 阻止了。
他们说我可以将图像以 JPG 或 ZIP 格式的文件发送给他们。
我猜他们出于安全原因阻止了这种格式。但是,PNG 格式有什么潜在的不安全之处呢?
其中是否存在任何已知的安全漏洞?(我只发现非常古老的东西。
该格式中是否有可能包含可执行代码或其他恶意代码?
答案1
他们更有可能拥有允许某些扩展的白名单,而不是阻止某些扩展的黑名单。这对他们来说更容易维护,并降低了攻击的媒介。
答案2
几年前实际上已经宣布了至少有一个漏洞:US-CERT:Microsoft Internet Explorer PNG 图像渲染组件存在缓冲区溢出. 带有 PNG 的 HTML 电子邮件是一种可能的攻击媒介。