Om du har skickat ett krypterat meddelande via Outlook Mail under de senaste sex månaderna, finns det en stor chans att de inte var så säkra som du förleddes att tro. Enligt forskare som tittar på säkerhetsuppdateringen som utfärdades av Microsoft tidigare denna vecka, har ett stort fel exponerat S/MIME-krypterade e-postmeddelanden i klartext för tredje parts avlyssning (via ZDNet).
Enkelt uttryckt gör end-to-end-krypteringen och signeringen när ett e-postmeddelande skickas innehållet endast tillgängligt för ett privat certifikat (personen det skickas till). Även i Sent Mail är dessa e-postmeddelanden krypterade för säkerhetsåtgärder. Naturligtvis är det där Microsofts e-posttjänst har felat. Istället för att bara skicka det privata meddelandet har de också skickat ett okrypterat formulär till mottagaren.
Det behöver inte sägas att det är en stor fråga. Säkerhetsforskaren Kevin Beaumont har följt felet och till och med tagit sig an att reproducera problemet.
Outlook S/MIME-bugg är absolut reproducerbar, jag gjorde det precis. Behöver ingen angripare. Microsoft har klassificerat det fel. @msftsecurity
— Kevin Beaumont (@GossiTheDog) 10 oktober 2017
Incidenten är enbart relaterad till de som använder S/MIMe-kryptering. Det får oss dock att undra hur många viktiga privata e-postmeddelanden som har lämnats okontrollerade på grund av sårbarheten. Microsoft har inte släppt någon ytterligare detaljerad information.
Betrakta detta som din påminnelse om att fånga den här viktiga patchfixen på tisdag innan du skickar fler privata e-postmeddelanden!
