Шифрование с дырой

Исследователи компании SEC Consult обнаружили в почтовом клиенте Microsoft Outlook уязвимость, которая вполне может претендовать на звание одной из самых нелепых за последнее время. Как выяснилось, отправляя защищенное шифрованием сообщение, программа отчего-то прикладывала к нему копию текста в незашифрованном виде.

Правда, происходило это не всегда, а при соблюдении ряда условий. В частности, письмо должно было быть защищено протоколом шифрования S/MIME и отправлено в формате обычного текста (этот формат не является форматом сообщений по умолчанию в Microsoft Outlook). Тем не менее, сам факт наличия такой уязвимости вызывает удивление. Зашифрованные сообщения могли легко быть прочитаны при перехвате трафика. Они также были доступны в режиме предварительного просмотра с компьютеров получателей. Все это сводит на нет саму идею криптографической защиты электронной почты.

Специалисты SEC Consult известили Microsoft о проблеме, и она уже ликвидирована в вышедшем позавчера пакете плановых обновлений. Таким образом, у пользователей Microsoft Outlook есть дополнительный и очень серьезный стимул установить эти обновления как можно скорее.