作為一款擁有巨量用戶基數的郵件應用,Microsoft Outlook 被曝最近幾月未能妥善地幫你投遞加密郵件。據 SEC Consult 本周早些時候發布的報告,這個問題或與 Outlook 在發送時處理安全多用途郵件擴展(S/MIME)的加密 bug 有關。S/MIME 是一個公鑰加密標準,旨在發送和接收的全過程提供防護,即便兩者之間的通道可能被別有用心的人把控,也能確保郵件內容的安全。
S/MIME 的工作原理是借助接收者的公鑰給郵件正文加花,后者則可以用私鑰來解密信息。然而 Outlook 的這個 bug,卻會發送出去同時包含一個 S/MIME 加密副本、以及未受到保護的非加密郵件副本。
最終結果是,攻擊者可以訪問任何一方的郵箱、或者介入未加密的“服務器-服務器”連接,輕而易舉地讀取郵件內容。SEC Consult 指出:“該 bug 讓 S/MIME 的加密保護徹底喪失”。
對于尚未知曉該問題的用戶,還請回顧下 Outlook 應用程序中“已發送”文件夾里被標記為“已加密”的那些郵件。
雖然微軟已經在本周二的“補丁星期二”(Patch Tuesday)那天進行了修復,但該公司并未向網絡安全公司披露問題存續的時間。不過據 SEC Consult 所述,該問題至少從 5 月份持續至今。
在此期間(甚至更早些時候),你通過 Outlook 發送的 S/MIME 加密郵件都很有可能被第三方攔截并讀取。
京公網安備 11010502049343號