Windows有缺陷 Outlook安全受到严重威胁
　 2002-09-06 08:24:06

　　上个月演示微软加密软件中安全缺陷的独立安全研究人员迈克指出，同一个安全缺陷可以用来伪造向Outlook用户发送的电子邮件签名。 　　
　　
　　迈克说，黑客可以创建一封似乎是签名的电子邮件，欺骗使用Outlook的收件人相信他们正在与第三方进行安全的沟通。在Outlook中，签名和未签名的电子邮件没有任何区别。 　　
　　
　　微软公司的发言人表示，微软已经得知了这事，而且正在进行调查。 　　
　　
　　迈克表示，Outlook的安全/MIME标准将会受到这一安全缺陷的影响。黑客可以创建一个用于对电子邮件进行签名的假安全证书。在Outlook用户打开电子邮件时，软件不验证证书的真假，而将该邮件作为经过签名的安全邮件。 　　
　　
　　经过测试，迈克发现，在安装有SP3的Windows 2000上运行的Outlook Express 5受该安全缺陷的影响。他说，尽管不能确定是否所有版本的Outlook都受影响，但指出，这一可能性极大。 　　
　　
　　这一安全缺陷会使SSL证书链失效，软件不检查它用来进行安全保护的证书的有效性。黑客能够利用一个有效的证书创建一个假冒的证书，使用假冒的证书进入加密的SSL对话中，窃取数据。为了避免受到数字签名攻击，用户应当人工检查数字证书链的有效性。 　　
　　
　　上个月，微软和VeriSign曾表示，要利用这一安全缺陷是非常困难的，黑客非常容易受到跟踪。但反对者认为从编程和将用户骗到假冒网站这二个角度考虑，要利用这一安全缺陷并不特别困难。(刘彦青 编译)