Уязвимость в Microsoft Outlook приводит к утечке данных
Содержимое электронных писем, отправленных с помощью Microsoft Outlook и зашифрованных по стандарту S/MIME, находится по угрозой утечки из-за уязвимости в почтовом клиенте. Исследователи безопасности из SEC Consult обнаружили уязвимость в октябре текущего года.
Проблема CVE-2017-11776 заключается в том, что Outlook отправляет электронное письмо как в зашифрованном, так и в незашифрованном виде. Злоумышленник с возможностью отслеживания трафика электронной почты может при желании прочитать содержимое письма.
Уязвимость проявляется только при определенных условиях. В частности, уязвимость затрагивает письма, зашифрованные с помощью S/MIME; уязвимость распространяется только на исходящие письма, но не входящие; уязвимость затрагивает письма отправленные в виде простого текста (параметр Outlook по умолчанию - использовать форматирование HTML), а также при попытках ответить на такое письмо; проблема затрагивает пользователей, использующих Outlook на SMTP-серверах; пользователей, использующих Microsoft Exchange при отключенном протоколе TLS.
Утечке также подвержен почтовый клиент получателя из-за функции предварительного просмотра сообщений. Злоумышленник может просматривать содержимое зашифрованного сообщения, даже если у него нет доступа к закрытому ключу жертвы. Например, хакер, получивший доступ к паролю жертвы, но не к его закрытому ключу, может прочитать некоторые из зашифрованных сообщений, полученных жертвой.
Утечка шифрования, даже если она ограничена описанными выше сценариями, является серьезной проблемой. Компании используют шифрование для защиты конфиденциальной информации, отправляемой по электронной почте. Большинство отчетов об ошибках и уязвимостях также обрабатываются в зашифрованном формате.
Исследователи проинформировали Microsoft о данной проблеме. Компания уже выпустила соответствующий патч.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш