神漏洞！Outlook會將你的加密郵件明文再發送一遍

所有用過微軟Outlook加密郵件（S/MIME）功能的用戶請注意，這個功能有Bug，它在發送加密郵件的同時，還會附帶一份未加密版本的內容。

安全公司SEC Consult在今年5月份發現漏洞（CVE-2017-11776），他們發現只要攔截Outlook發送加密郵件的網路連接，觸發編程錯誤，就能讀取未加密版本內容。

加密郵件（S/MIME）是郵件端到端加密的國際標準，主流郵箱軟體均支持該功能。要使用S/MIME，需要配置軟體安裝個人證書，並與收件人交換證書。

當Outlook用戶用S/MIME發送純文本郵件時，就會觸發漏洞。你在發送文件夾里看到已發送一封加密文件，但收件人實際上收到兩封，一封加密、一封明文。

只有格式化為「純文本」的加密郵件受漏洞影響

SEC Consult公司在昨天公布的報告里稱：「這個漏洞發現過程有點不同尋常。」

與常見的漏洞挖掘過程不同，我們並沒有想找Outlook的漏洞，只是偶然在使用過程中發現了它。當看到S/MIME郵件的內容竟然明文顯示時，我們知道這裡肯定有問題。

加密郵件漏洞還有其它負面影響，具體取決於用戶如何配置郵箱。

如果是Exchange，那純文本加密郵件的內容只有收件人可以看到；

如果是SMTP，不僅收件人，還有郵箱伺服器也會看到，基本上加密功能算是廢了。

微軟聲稱漏洞「不太可能」被野外利用，但信息安全專家們並不認可。

SEC Consult 5月份向微軟報告漏洞後，6月微軟官方論壇有用戶也反饋了該問題。今年10月，微軟在周二補丁日的更新包里修復了漏洞，大家更新到Outlook最新版本即可不受影響。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: