Outlook加密有bug 会在用户发送的加密邮件后附加明文版本

如果能拦截传输加密邮件的网络连接，那么如该bug遭触发任何人就能阅读到非加密版本的附件。当Outlook用户通过S/MIME加密并格式化信息时就会触发这个bug，导致邮件以明文形式显示。当邮件发送时，Outlook会以加密形式报告邮件已发送，在“发送”文件夹会这样显示，但附加在加密文本后的是一个易读的明文版本。这种做法是对加密的恶意使用。

研究人员指出，发现这个漏洞的方式并不寻常。通常是偶然或碰巧发现某个漏洞的蛛丝马迹。这次他们注意到S/MIMI加密邮件的内容在Outlook Web Access中显示。

根据用户对Outlook的不同配置，这种加密的做法也会带来不同的影响。如果用户是通过Exchange使用Outlook，那么明文文本邮件只会发送给相关收件人且无法转发。但如果是在SMTP下运行的Outlook，那么明文邮件不仅会泄露给收件人，还会泄露给路径中的所有邮件服务器。而这就是一种安全噩梦了。

微软称“不可能”在野利用这个bug，但一些安全专家指出很容易利用，绝对能够复现。

SEC Consult公司的研究人员指出在5月份发现这个问题并将其报告给微软，但尚未得到关于该bug存在多久的回应。微软在10月份的“补丁星期二”中修复了该bug，因此建议用户尽快应用这个安全更新。另外，任何从Outlook发出的以明文形式格式化的S/MIME信息可能已遭恶意人员读取。