S/MIME, acronimo di Secure/Multipurpose Internet Mail Extensions è uno standard per la crittografia a chiave pubblica e la firma digitale dei messaggi di posta elettronica piuttosto utilizzato a livello internazionale e supportato da tutti i principali client email.
Analogo a PGP, S/MIME offre gli stessi servizi pur usando formati diversi e incompatibili con PGP. A differenza di quest’ultimo, che si basa su un sistema di tipo web of trust per la distribuzione della chiavi pubbliche, S/MIME prevede che gli utenti si rivolgano a un’autorità di certificazione che rilascia un certificato digitale previa effettuazione di una serie di operazioni per arrivare all’autenticazione e validazione del richiedente.
La brutta notizia è che chi ha sino ad oggi scambiato messaggi usando lo standard S/MIME e Microsoft Outlook potrebbe aver reso i suoi messaggi leggibili da parte di terzi.
In particolari situazioni, infatti, Outlook ha inviato i messaggi S/MIME anche in chiaro e quindi non soltanto in forma crittografata.
Stando a quanto riferito, il problema si manifesterebbe solo con i messaggi di posta redatti in testo puro (plaintext) e non per quelli a cui viene applicata una formattazione HTML.
Nel caso degli utenti aziendali che si servono di Microsoft Exchange, le informazioni in chiaro transiterebbero dal singolo client Outlook fino al primo hop limitando il problema alla sola struttura interna.
Per risolvere la lacuna di sicurezza in Outlook, è necessario installare gli aggiornamenti di sicurezza Microsoft di ottobre 2017 (vedere Patch day Microsoft di ottobre: aggiornamenti critici per Office e client DNS). La vulnerabilità è classificata con l’identificativo CVE-2017-11776.