Из за ошибки в Outlook к «защифрованным» письмам прилагались их незашифрованные копии

Ramzes
, 13.10.2017 в 00:01
Специалисты компании SEC Consult обнаружили, что часть зашифрованных с помощью S/MIME писем в Microsoft Outlook могла быть доступна сторонним лицам. Из-за ошибки в программе в некоторых случаях к таким письмам прилагались незашифрованные копии. В результате этого любой, что мог перехватить трафик жертвы, мог спокойно читать казалось бы надёжно зашифрованные сообщения.


up x официальный сайт
Данная ситуация была возможна только при выполнении нескольких условий:

проблема распространялась только на письма, зашифрованные при помощи S/MIME, письма с PGP/GPG шифрованием были не подвержены данной ошибке;
незашифрованные письма прикладываются только к отправленным через Outlook письмам;
текст в письме должен быть в формате text/plain без HTML форматирования;
если Outlook взаимодействует с почтовым ящиком через SMTP, то письма были доступны для прочтения всей цепочке серверов на пути к получателю;
если же пользователь применял связку Outlook и Microsoft Exchange, то послание раскрывалось только одному хопу.

Microsoft исправил ошибку в октябрьских патчах, поэтому мы рекомендуем обновиться как можно скорее.

Ну и дополнить новость можем тем, что The Bat! не подвержен этой уязвимости, так как использует собственную реализацию S/MIME.
Категории
Новости почтовых клиентов