Auf den Punkt: Outlook übertrug Authentifizierungsdaten jahrelang unverschlüsselt an E-Mail-Server, während die Nutzeroberfläche SSL/TLS als aktiv anzeigte.
Ein Fedora-Update hat bei Outlook-Nutzern eine Sicherheitslücke enthüllt, die das Versenden von Passwörtern im Klartext zu E-Mail-Servern ermöglichte, obwohl die SSL/TLS-Verschlüsselung aktiviert war. Dies betraf Nutzer über mehrere Jahre hinweg.
Bei verschiedenen Outlook-Konfigurationen wurde festgestellt, dass Authentifizierungsdaten trotz aktiver SSL/TLS-Verschlüsselung unverschlüsselt zum E-Mail-Server übertragen wurden. Die Sicherheitslücke blieb über Jahre hinweg unentdeckt, weil Outlook die Einstellung oberflächlich als geschützt darstellte, während die technische Umsetzung fehlerhaft war.
Das Fedora-Update führte zur Entdeckung, weil die Linux-Distribution offenbar striktere Anforderungen an die Verschlüsselung durchsetzte oder den Fehler in Microsofts Implementierung sichtbar machte. Dies ist ein klassisches Beispiel für eine Vertrauensbruchstelle zwischen Nutzererwartung und tatsächlicher Sicherheitsumsetzung im Authenticator-Protokoll.
Für CISOs ist dies relevante Information zur Überprüfung historischer Outlook-Deployments in der eigenen Umgebung, insbesondere wenn Legacy-Konfigurationen mit manuellen Servereinstellungen verwendet wurden. Eine Audit des internen Authentifizierungsverkehrs und eine Neubewertung möglicherweise kompromittierter Zugangsdaten sind erforderlich.
Quelle: www.golem.de · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.