読売新聞の記事でも報じられていますが、APOPにプロトコル上の欠陥が見つかったようです。

CVE-2007-1558によりますと、POPサーバ側が提示するmessage id(チャレンジ文字列)に仕込みを入れることで、クライアントが送信するMD5文字列からパスワードの先頭3文字を複合することが可能なようです。

これはSHA-256にでもすればすぐ対応可能ですし、サーバ側も送られてきた文字列長でMD5かSHA-256かはすぐ判別できるので、おそらくすぐにでも対処されるのではないでしょうか。

むしろこのようなニュースが読売新聞のような一般紙に掲載されるようになったことに、驚きを覚えますね。