Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Fel i hur Outlook 2002 hanterar V1 Exchange Server-säkerhetscertifikat kan leda till avslöjande av information (812262)
Publicerad: 22 januari 2003
Version: 1.0
Ursprungligen publicerad: 22 januari 2003
Sammanfattning
Vem bör läsa den här bulletinen: Administratörer av Microsoft Outlook 2002-system som använder V1 Exchange Server-säkerhetscertifikat för kryptering.
Sårbarhetens inverkan: Informationsupplysning
Högsta allvarlighetsgrad: Måttlig
Rekommendation: Administratörer av Microsoft Outlook 2002-system som använder V1 Exchange Server-säkerhetscertifikat för kryptering bör tillämpa korrigeringen omedelbart.
Programvara som påverkas:
- Microsoft Outlook 2002
Allmän information
Teknisk information
Teknisk beskrivning:
Microsoft Outlook 2002 tillhandahåller möjligheten att kryptera e-postmeddelanden som skickas mellan e-postmottagare. Kryptering används för att förhindra att andra parter än de avsedda mottagarna läser innehållet i ett e-postmeddelande. Outlook använder offentliga nyckelcertifikat för att underlätta utbytet av kryptografiska nycklar som används i krypteringsprocessen, och Outlook erbjuder ett antal olika alternativ för vilken typ av certifikat som kan användas. S/MIME-certifikat är de vanligaste (och påverkas inte av den sårbarhet som är föremål för den här bulletinen), men det finns andra certifikatalternativ, inklusive V1 Exchange Server-säkerhetscertifikat.
Det finns en säkerhetsrisk eftersom det finns ett fel i hur Outlook 2002 hanterar ett V1 Exchange Server-säkerhetscertifikat när det används för att kryptera e-post. På grund av det här felet kan Outlook inte kryptera e-postmeddelandet korrekt och meddelandet skickas i oformaterad text. Detta kan göra att informationen i e-postmeddelandet exponeras när användaren trodde att den var skyddad via kryptering.
Förmildrande faktorer:
- Den här sårbarheten påverkar endast kryptering när ett V1 Exchange Server-säkerhetscertifikat används. S/MIME-kryptering, som är den mest använda formen av e-postkryptering som används av Outlook, påverkas inte.
- Den här säkerhetsrisken påverkar bara Outlook 2002 och endast när du skickar HTML-e-post.
Allvarlighetsgrad:
| Outlook 2002 | Medel |
Ovanstående utvärdering baseras på de typer av system som påverkas av sårbarheten, deras typiska distributionsmönster och den effekt som sårbarheten skulle ha på dem.
Sårbarhetsidentifierare:CAN-2003-0007
Testade versioner:
Microsoft testade Outlook 98, Outlook 2000 och Outlook 2002 för att bedöma om de påverkas av dessa säkerhetsrisker. Tidigare versioner stöds inte längre och kan påverkas eller kanske inte påverkas av dessa säkerhetsrisker.
Vanliga frågor och svar
Vad är omfattningen av säkerhetsrisken?
Den här säkerhetsrisken kan leda till att en användare, som hade Outlook 2002 konfigurerat att använda ett V1 Exchange Server Security-certifikat för e-postkryptering, skickar e-post som användaren trodde var krypterad när det i själva verket inte var det.
Om en angripare kunde fånga upp e-postmeddelandet kunde e-postmeddelandet läsas som oformaterad text i stället för att skyddas via kryptering.
Vad är ett digitalt certifikat?
Digitala certifikat är en välbekant fixtur inom kryptering med offentlig nyckel. I kryptografi med offentlig nyckel finns det två nycklar: den privata nyckeln, som måste hållas hemlig, och den offentliga nyckeln, som är avsedd att delas med världen. För att den offentliga nyckeln ska kunna delas effektivt måste det finnas ett sätt att lära sig vem den är, hur den kan användas och att kontrollera att informationen är äkta. Digitala certifikat är ett sätt att göra detta.
Ett digitalt certifikat kombinerar en offentlig nyckel med information om den – vem som äger den, vilka syften den kan användas för, när den upphör att gälla och så vidare. När en användare behöver ett digitalt certifikat får han eller hon det från en organisation som kallas certifikatutfärdare (CA). Certifikatutfärdare skapar inte bara certifikatet, det signerar det också digitalt och går därmed i god för informationen i det och förhindrar att det ändras utan identifiering.
Vad är ett V1 Exchange Server-säkerhetscertifikat?
Ett V1 Exchange Server-säkerhetscertifikat är ett av de krypteringscertifikatalternativ som är tillgängliga när Outlook 2002 används tillsammans med en Microsoft Exchange-e-postserver. I den här konfigurationen kan Exchange-e-postservern fungera som certifikatutfärdare och utfärda certifikat till Outlook-klienterna. En typ av certifikat som kan utfärdas är V1 Exchange Server Security-certifikatet, men standardcertifikattypen i den här konfigurationen är ett S/MIME-certifikat.
Finns det ett fel i V1 Exchange Server-säkerhetscertifikat?
Nej – det är viktigt att känna igen att felet är på det sätt som Outlook hanterar den här typen av certifikat och inte i själva certifikaten.
Du har nämnt S/MIME – vad är det?
S/MIME står för Secure/Multipurpose Internet Mail Extensions. S/MIME är ett konsekvent sätt att skicka och ta emot MIME-kodade data på ett säkert sätt. Baserat på den populära INTERNET MIME-standarden tillhandahåller S/MIME följande kryptografiska säkerhetstjänster för elektroniska meddelandeprogram: autentisering, meddelandeintegritet och icke-avvisning av ursprung (med digitala signaturer) och sekretess och datasäkerhet (med kryptering).
En beskrivning av S/MIME och information om digitala certifikat finns i Microsoft Knowledge Base-artikeln Q195724, RFC 2633 avsnitt 1 och artikeln Arbeta med Säkerhetsmodellen för Outlook 2000.
Påverkas S/MIME av den här sårbarheten?
Nej – den här sårbarheten är begränsad till situationer där V1 Exchange Server-säkerhetscertifikat används för kryptering.
Hur gör jag för att ange vilken typ av certifikat Outlook använder för att skicka och ta emot krypterad e-post?
Du kan se vilken typ av certifikat Outlook 2002 använder för kryptering genom att kontrollera Verktyg|Alternativ|Säkerhet|Säkerhets Inställningar. Om säkerhetsinställningarna visar att "säkert meddelandeformat" är "Exchange Server Security" använder Outlook 2002 ett V1 Exchange Server-säkerhetscertifikat.
Du har talat om kryptering, men certifikat kan även användas för att signera e-post digitalt. Påverkas det här programmet av certifikat?
Nej, digital signering påverkas inte – den här sårbarheten påverkar endast kryptering med hjälp av Exchange Server-säkerhetscertifikat.
Vad orsakar sårbarheten?
Säkerhetsrisken beror på att Outlook 2002 inte använder V1 Exchange Server-säkerhetscertifikat korrekt när sådana certifikat har valts för kryptering. Resultatet av felet är att e-postmeddelandet inte är krypterat
Vad är det för fel med kryptering i Outlook 2002 när säkerhetscertifikatet för V1 Exchange Server används?
Det finns ett fel i hur Outlook bearbetar en begäran om att använda V1 Exchange Server Security-certifikatet för att kryptera ett e-postmeddelande. På grund av felet används inte certifikatet korrekt och meddelandet skickas i oformaterad text.
Vad kan den här sårbarheten göra det möjligt för en angripare att göra?
Det skulle göra det möjligt för en angripare som hade möjlighet att avlyssna e-postmeddelanden mellan två parter att läsa dessa e-postmeddelanden även om parterna trodde att de var krypterade.
Hur kan en angripare utnyttja den här sårbarheten?
För att utnyttja den här säkerhetsrisken måste en angripare ha möjlighet att avlyssna e-post mellan parter som använde V1 Exchange Server Security-certifikat för kryptering eller ha åtkomst till infrastrukturen där dessa e-postmeddelanden lagrades, till exempel åtkomst till e-postservrar. Med den här åtkomsten kan en angripare läsa e-postmeddelanden som användarna trodde var skyddade med kryptering.
Vad gör korrigeringen?
Korrigeringen eliminerar säkerhetsrisken genom att se till att Outlook 2002 använder V1 Exchange Server Security-certifikatet korrekt när det har valts som certifikat som ska användas för krypteringsåtgärder.
Korrigeringstillgänglighet
Ladda ned platser för den här korrigeringen
Microsoft Outlook 2002:
</https:>https: (endast administrativ uppdatering)
Obs! Den här och andra Office-uppdateringar kan hämtas på https://office.microsoft.com/productupdates.
Ytterligare information om den här korrigeringen
Installationsplattformar:
Den här korrigeringen kan installeras på system som kör Outlook 2002 med Office XP Service Pack 2. (Den administrativa uppdateringen kan installeras på system som kör Office XP Service Pack 1 också).
Inkludering i framtida servicepaket:
Korrigeringen för det här problemet kommer att ingå i eventuella framtida servicepaket för
Office XP.
Omstart krävs: Nej
Korrigering kan avinstalleras: Nej
Ersatta korrigeringar: Ingen.
Verifierar korrigeringsinstallation:
- Starta Microsoft Outlook och klicka sedan på Om Microsoft Outlook på hjälpmenyn. Produktversionen är 10.4712.4219 om korrigeringen är installerad.
Varningar:
Ingen
Lokalisering:
Lokaliserade versioner av den här korrigeringen är tillgängliga på de platser som beskrivs i "Korrigeringstillgänglighet".
Hämta andra säkerhetskorrigeringar:
Korrigeringar för andra säkerhetsproblem är tillgängliga från följande platser:
- Säkerhetskorrigeringar är tillgängliga från Microsoft Download Center och kan hittas enklast genom att göra en nyckelordssökning efter "security_patch".
- Korrigeringar för konsumentplattformar är tillgängliga från Webbplatsen WindowsUpdate
Övrig information:
Support:
- Microsoft Knowledge Base-artikeln 812262 diskuterar det här problemet och kommer att vara tillgänglig cirka 24 timmar efter lanseringen av den här bulletinen. Kunskapsbasartiklar finns på webbplatsen för Microsoft Online Support .
- Teknisk support är tillgänglig från Microsoft Product Support Services. Det kostar inget för supportsamtal som är associerade med säkerhetskorrigeringar.
Säkerhetsresurser: Webbplatsen Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning:
Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar:
- V1.0 22 januari 2003: Bulletin skapad.
Byggd 2014-04-18T13:49:36Z-07:00</https:>