回归最本质的信息安全

神漏洞!Outlook会将你的加密邮件明文再发送一遍

2017年10月12日发布

30,192
0
0

导语:所有用过微软Outlook加密邮件(S/MIME)功能的用户请注意,这个功能有Bug,它在发送加密邮件的同时,还会附带一份未加密版本的内容。

所有用过微软Outlook加密邮件(S/MIME)功能的用户请注意,这个功能有Bug,它在发送加密邮件的同时,还会附带一份未加密版本的内容。

SMIME_4_cropped-758x340.png

安全公司SEC Consult在今年5月份发现漏洞(CVE-2017-11776),他们发现只要拦截Outlook发送加密邮件的网络连接,触发编程错误,就能读取未加密版本内容。

加密邮件(S/MIME)是邮件端到端加密的国际标准,主流邮箱软件均支持该功能。要使用S/MIME,需要配置软件安装个人证书,并与收件人交换证书。

当Outlook用户用S/MIME发送纯文本邮件时,就会触发漏洞。你在发送文件夹里看到已发送一封加密文件,但收件人实际上收到两封,一封加密、一封明文。

SMIME_2.png

只有格式化为“纯文本”的加密邮件受漏洞影响

SEC Consult公司在昨天公布的报告里称:“这个漏洞发现过程有点不同寻常。”

与常见的漏洞挖掘过程不同,我们并没有想找Outlook的漏洞,只是偶然在使用过程中发现了它。当看到S/MIME邮件的内容竟然明文显示时,我们知道这里肯定有问题。

加密邮件漏洞还有其它负面影响,具体取决于用户如何配置邮箱。

如果是Exchange,那纯文本加密邮件的内容只有收件人可以看到;

如果是SMTP,不仅收件人,还有邮箱服务器也会看到,基本上加密功能算是废了。

微软声称漏洞“不太可能”被野外利用,但信息安全专家们并不认可。

Snip20171012_9.png

SEC Consult 5月份向微软报告漏洞后,6月微软官方论坛有用户也反馈了该问题。今年10月,微软在周二补丁日的更新包里修复了漏洞,大家更新到Outlook最新版本即可不受影响。

本文翻译自http://www.theregister.co.uk/2017/10/11/outlook_smime_bug/,如若转载,请注明原文地址: http://www.4hou.com/info/news/7926.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论