當前位置:
首頁 > 新聞 > 神漏洞!Outlook會將你的加密郵件明文再發送一遍

神漏洞!Outlook會將你的加密郵件明文再發送一遍

所有用過微軟Outlook加密郵件(S/MIME)功能的用戶請注意,這個功能有Bug,它在發送加密郵件的同時,還會附帶一份未加密版本的內容。

安全公司SEC Consult在今年5月份發現漏洞(CVE-2017-11776),他們發現只要攔截Outlook發送加密郵件的網路連接,觸發編程錯誤,就能讀取未加密版本內容。

加密郵件(S/MIME)是郵件端到端加密的國際標準,主流郵箱軟體均支持該功能。要使用S/MIME,需要配置軟體安裝個人證書,並與收件人交換證書。

當Outlook用戶用S/MIME發送純文本郵件時,就會觸發漏洞。你在發送文件夾里看到已發送一封加密文件,但收件人實際上收到兩封,一封加密、一封明文。

只有格式化為「純文本」的加密郵件受漏洞影響

SEC Consult公司在昨天公布的報告里稱:「這個漏洞發現過程有點不同尋常。」

與常見的漏洞挖掘過程不同,我們並沒有想找Outlook的漏洞,只是偶然在使用過程中發現了它。當看到S/MIME郵件的內容竟然明文顯示時,我們知道這裡肯定有問題。

加密郵件漏洞還有其它負面影響,具體取決於用戶如何配置郵箱。

如果是Exchange,那純文本加密郵件的內容只有收件人可以看到;

如果是SMTP,不僅收件人,還有郵箱伺服器也會看到,基本上加密功能算是廢了。

微軟聲稱漏洞「不太可能」被野外利用,但信息安全專家們並不認可。

SEC Consult 5月份向微軟報告漏洞後,6月微軟官方論壇有用戶也反饋了該問題。今年10月,微軟在周二補丁日的更新包里修復了漏洞,大家更新到Outlook最新版本即可不受影響。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

深度學習框架中的魔鬼-探究人工智慧系統中的安全問題
有意還是無意?一加手機正在收集用戶敏感數據

TAG:嘶吼RoarTalk |