JAKARTA - Jika Anda telah mengirim email terenkripsi melalui Outlook Mail dalam enam bulan terakhir, ada kemungkinan besar email tersebut tidak seaman yang Anda percayai. Isi email yang dikirim menggunakan Microsoft Outlook dan terenkripsi tersebut, terancam bocor karena kerentanan pada klien email. Peneliti keamanan dari SEC Consult menemukan kerentanan pada bulan Oktober tahun 2017 ini.

Masalah dengan CVE-2017-11776 bahwa Outlook mengirim email dalam bentuk terenkripsi dan namun nyatanya tidak terenkripsi. Penyerang dengan kemampuan untuk melacak lalu lintas email bisa membaca isi email.

Kerentanan hanya memanifestasikan dirinya dalam kondisi tertentu. Secara khusus Kerentanan hanya mempengaruhi email keluar, tapi tidak masuk. Kerentanan tersebut mempengaruhi huruf yang dikirim sebagai teks biasa (opsi Outlook default adalah menggunakan pemformatan HTML), dan saat mencoba membalas pesan semacam itu mempengaruhi pengguna yang menggunakan Outlook pada server SMTP. Pengguna yang menggunakan Microsoft Exchange saat TLS dinonaktifkan.

Penyerang dapat melihat isi pesan terenkripsi walaupun dia tidak memiliki akses ke kunci pribadi korban. Misalnya, hacker yang memiliki akses dapat membaca beberapa pesan terenkripsi yang diterima oleh korban.

Sebuah kebocoran enkripsi meskipun terbatas pada skenario yang dijelaskan di atas merupakan masalah serius. Microsoft menggunakan enkripsi pada Email Outlook untuk melindungi informasi rahasia yang dikirim melalui e-mail. Sebagian besar laporan bug dan kerentanan juga diproses dalam format terenkripsi.

Para peneliti menginformasikan Microsoft tentang masalahnya. Microsoft telah merilis sebuah patch.