Outlook抽风数月：加密电邮竟包含不受保护的副本

点击上方 “安全优佳” 可以订阅哦！

作为一款拥有巨量用户基数的邮件应用，Microsoft Outlook 被曝最近几月未能妥善地帮你投递加密邮件。据 SEC Consult 本周早些时候发布的报告，这个问题或与 Outlook 在发送时处理安全多用途邮件扩展（S/MIME）的加密 bug 有关。S/MIME 是一个公钥加密标准，旨在发送和接收的全过程提供防护，即便两者之间的通道可能被别有用心的人把控，也能确保邮件内容的安全。

S/MIME 的工作原理是借助接收者的公钥给邮件正文加花，后者则可以用私钥来解密信息。然而 Outlook 的这个 bug，却会发送出去同时包含一个 S/MIME 加密副本、以及未受到保护的非加密邮件副本。

最终结果是，攻击者可以访问任何一方的邮箱、或者介入未加密的“服务器-服务器”连接，轻而易举地读取邮件内容。SEC Consult 指出：“该 bug 让 S/MIME 的加密保护彻底丧失”。

对于尚未知晓该问题的用户，还请回顾下 Outlook 应用程序中“已发送”文件夹里被标记为“已加密”的那些邮件。

虽然微软已经在本周二的“补丁星期二”（Patch Tuesday）那天进行了修复，但该公司并未向网络安全公司披露问题存续的时间。不过据 SEC Consult 所述，该问题至少从 5 月份持续至今。

在此期间（甚至更早些时候），你通过 Outlook 发送的 S/MIME 加密邮件都很有可能被第三方拦截并读取。

安全优佳

http://news.secwk.com

长按识别左侧二维码，关注我们