Af Torben B. Sørensen, 12/10/17
En af oktober måneds sikkerhedsrettelser fra Microsoft lukker et hul i Outlook 2016. Sårbarheden medfører, at mails der skulle have været krypteret er blevet sendt uden kryptering.
Fejlen findes kun ved mails, der sendes uden formatering. Mails med HTML-formatering er ikke berørt.
Sårbarheden medfører, at mails der er sat til at blive krypteret med S/MIME, ganske vist bliver krypteret. Men sammen med den krypterede mail sender Outlook også en ukrypteret version.
Hvis man anvender en Exchange-server, når den ukrypterede version kun frem til serveren. Hvis modtageren er på samme server, får vedkommende den ukrypterede version. Modtagere ude på internettet får derimod kun den krypterede udgave.
Microsoft har ikke oplyst, hvor længe fejlen har været i Outlook 2016.
Anbefaling
Installer opdateringen. Hvis I anvender krypteret mail, bør I undersøge, om I opbevarer ukrypterede mails, som burde være krypterede.
Links
- CVE-2017-11776 | Microsoft Outlook Information Disclosure Vulnerability
- Fake Crypto: Microsoft Outlook S/MIME Cleartext Disclosure (CVE-2017-11776), blogindlæg fra SEC Consult
- Outlook bug meant S/MIME emails were sent unencrypted for months, artikel fra ZDNet
- Dumb bug of the week: Outlook staples your encrypted emails to, er, plaintext copies when sending messages, artikel fra The Register