最近微软经典版Outlook被曝出签名验证漏洞,这事儿在企业级邮件安全圈子里引起了不小的关注。BornCity博客里详细说了这个事儿,是系统管理员在日常运维里发现的,已经是这个月第二回了。这漏洞条件挺特别,要是用户发加密邮件加附件,文件名里有德语那种变音字符(像ä、ö、ü),而且文件名还特别长,超过了10个字符,系统生成的数字签名就自动失效了。 数字签名这技术本来是现代通信保安全的核心,通过密码学加密内容,让收件人知道邮件没被改、发件人是真的。企业里这东西用得挺多,合同啊财务数据啊机密文件都靠它。这漏洞一出,收件方就没法确认邮件是不是被改了或者是不是真的对方发的。要是中间人想搞事儿篡改信息,那就有机会了,尤其是政府机构、金融机构这种重要单位,风险挺大的。 受影响的主要是Outlook Classic 2019的Current构建版本。技术社区有人反映这个问题存在挺久了,一直没解决。微软那边还没发正式公告呢。专家说软件处理国际化字符集容易有漏洞,特别是全球化办公多语言文件名用得多的时候。 用户单位现在能做的是:发加密邮件别用有口音的长文件名;重要邮件搞多重验证;随时看微软更新。管理员得盯着日志看异常记录。现在数字化办公越来越深了,办公软件稳不稳关系到经济社会运行。这回漏洞又提醒开发商得好好测试国际化场景。大家盼着微软赶紧给说法修修补补。