Bug des Tages: Der S/MIME-Support von Outlook schickt neben der verschlüsselten Mail auch den Plaintext nochmal mit....

BM-NBN5C4Fxxpiz2NWx1jjXovo7myq1pp1F
Oct 12 22:53 [raw]

<a href="https://blog.fefe.de/?ts=a7238bc7">[l]</a> Bug des Tages: <a href="https://www.sec-consult.com/en/blog/2017/10/fake-crypto-microsoft-outlook-smime-cleartext-disclosure-cve-2017-11776/index.html">Der S/MIME-Support von Outlook schickt neben der verschlüsselten Mail auch den Plaintext nochmal mit</a>.<blockquote lang="en">We knew something was seriously wrong when we noticed that the contents of S/MIME encrypted mails were shown in Outlook Web Access (OWA).</blockquote>Ach komm, sei doch nicht päpstlicher als der Papst, Fefe! Die haben das doch verschlüsselt! Nur haben sie es auch unverschlüsselt mitgeschickt! Das ist doch ein toller Service! Falls der Private Key verlorengegangen ist oder so!<blockquote>We observed this vulnerability only triggers with mails that are formatted in “Plain Text”. Microsoft confirmed this observation.</blockquote>Plain Text ist hier im Sinne von "ASCII statt HTML" gemeint, nicht im Krypto-Sinne. Aber hey, das wird die Verwechslung sein. "Wieso, da steht doch Plain Text? Also schicken wir Plain Text!"<p>Oder so. (Danke, Ben)

[chan] fefe
BM-2cVf4AJ5E11LXpaHU19oQwAMPtynNjYRa5