查看原文
其他

Outlook加密有bug 会在用户发送的加密邮件后附加明文版本

代码卫士 2022-11-01


作者:lain Thomson

翻译:360代码卫士团队



使用微软Outlook加密的用户要注意了。SEC Consult公司的安全研究人员在Outlook中发现一个bug,它会在用户发送的机密信息后附加非加密的明文版本。


如果能拦截传输加密邮件的网络连接,那么如该bug遭触发任何人就能阅读到非加密版本的附件。当Outlook用户通过S/MIME加密并格式化信息时就会触发这个bug,导致邮件以明文形式显示。当邮件发送时,Outlook会以加密形式报告邮件已发送,在“发送”文件夹会这样显示,但附加在加密文本后的是一个易读的明文版本。这种做法是对加密的恶意使用。


研究人员指出,发现这个漏洞的方式并不寻常。通常是偶然或碰巧发现某个漏洞的蛛丝马迹。这次他们注意到S/MIMI加密邮件的内容在Outlook Web Access中显示。


根据用户对Outlook的不同配置,这种加密的做法也会带来不同的影响。如果用户是通过Exchange使用Outlook,那么明文文本邮件只会发送给相关收件人且无法转发。但如果是在SMTP下运行的Outlook,那么明文邮件不仅会泄露给收件人,还会泄露给路径中的所有邮件服务器。而这就是一种安全噩梦了。


微软称“不可能”在野利用这个bug,但一些安全专家指出很容易利用,绝对能够复现。


SEC Consult公司的研究人员指出在5月份发现这个问题并将其报告给微软,但尚未得到关于该bug存在多久的回应。微软在10月份的“补丁星期二”中修复了该bug,因此建议用户尽快应用这个安全更新。另外,任何从Outlook发出的以明文形式格式化的S/MIME信息可能已遭恶意人员读取。



本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。



360代码卫士    长按二维码关注我们!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存