导语:所有用过微软Outlook加密邮件(S/MIME)功能的用户请注意,这个功能有Bug,它在发送加密邮件的同时,还会附带一份未加密版本的内容。
所有用过微软Outlook加密邮件(S/MIME)功能的用户请注意,这个功能有Bug,它在发送加密邮件的同时,还会附带一份未加密版本的内容。
安全公司SEC Consult在今年5月份发现漏洞(CVE-2017-11776),他们发现只要拦截Outlook发送加密邮件的网络连接,触发编程错误,就能读取未加密版本内容。
加密邮件(S/MIME)是邮件端到端加密的国际标准,主流邮箱软件均支持该功能。要使用S/MIME,需要配置软件安装个人证书,并与收件人交换证书。
当Outlook用户用S/MIME发送纯文本邮件时,就会触发漏洞。你在发送文件夹里看到已发送一封加密文件,但收件人实际上收到两封,一封加密、一封明文。
只有格式化为“纯文本”的加密邮件受漏洞影响
SEC Consult公司在昨天公布的报告里称:“这个漏洞发现过程有点不同寻常。”
与常见的漏洞挖掘过程不同,我们并没有想找Outlook的漏洞,只是偶然在使用过程中发现了它。当看到S/MIME邮件的内容竟然明文显示时,我们知道这里肯定有问题。
加密邮件漏洞还有其它负面影响,具体取决于用户如何配置邮箱。
如果是Exchange,那纯文本加密邮件的内容只有收件人可以看到;
如果是SMTP,不仅收件人,还有邮箱服务器也会看到,基本上加密功能算是废了。
微软声称漏洞“不太可能”被野外利用,但信息安全专家们并不认可。
SEC Consult 5月份向微软报告漏洞后,6月微软官方论坛有用户也反馈了该问题。今年10月,微软在周二补丁日的更新包里修复了漏洞,大家更新到Outlook最新版本即可不受影响。