ИБ-эксперты из SEC Consult нашли уязвимость в Microsoft Outlook, из-за которой под угрозой утечки находятся электронные письма, отправленные посредством сервиса и зашифрованные по стандарту S/MIME.
Outlook отправляет электронные письма и в зашифрованном, и в незашифрованном виде. Хакер, имеющий возможность отслеживать трафик электронной почты, может прочесть письмо.
Данная уязвимость касается лишь исходящих писем, зашифрованных посредством S/MIME и отправленных в виде простого текста. Кроме того, хакеры могут воспользоваться лишь, если жертвы применяют Outlook на SMTP-серверах или Microsoft Exchange при отключенном протоколе TLS.
Также утечка может затронуть почтовый клиент получателя ввиду наличия функционала предпросмотра писем. Хакер может просмотреть содержимое зашифрованного письма, даже не имея доступа к закрытому ключу пользователя. Так, злоумышленник, который получил доступ лишь к паролю жертвы, может прочесть часть зашифрованных писем, полученных пользователем.
Эксперты сообщили в Microsoft о данной уязвимости, после чего специалисты корпорации выпустили патч для нее.
