Microsoft пусна извънредна актуализация на сигурността за инструмента Snipping за Windows 10 и Windows 11, за да отстрани уязвимостта в поверителността Acropalypse.

Сега проследявана като CVE-2023-28303, уязвимостта Acropalypse се причинява от това, че редакторите на изображения не премахват правилно изрязаните данни на изображението, когато презаписват оригиналния файл.

Например, ако направите снимка на екрана и изрежете чувствителна информация, като например номера на сметки, би трябвало да имате основателни очаквания, че тези изрязани данни ще бъдат премахнати при записването на изображението.

При тази грешка обаче беше установено, че както инструментът за маркиране на Google Pixel, така и инструментът за изрязване на Windows оставят изрязаните данни в оригиналния файл.

Например на изображението по-долу можете да видите как допълнителните данни се запазват след маркера IEND, който обозначава края на PNG файла. Обикновено след маркера IEND не трябва да има данни.

Тези допълнителни данни могат да се използват за частично възстановяване на изрязаното съдържание на изображението, като потенциално разкриват чувствително съдържание, което никога не е трябвало да бъде публично.

Microsoft пуска актуализация на сигурността на OOB

Както съобщиха от компанията, Microsoft тества поправка за грешката в Windows 11 Snipping Tool в канала Windows Insider Canary.

Снощи Microsoft публично пусна актуализации за сигурност както за програмата Windows 10 Snip & Sketch, така и за Windows 11 Snipping Tool, за да отстрани дефекта Acropalypse.

„Пуснахме актуализация на сигурността за тези инструменти чрез CVE-2023-28303. Препоръчваме на клиентите да приложат актуализацията“, заявиха от Microsoft.

След инсталирането на тази актуализация на сигурността Windows 11 Snipping Tool ще бъде версия 10.2008.3001.0, а Windows 10 Snip & Sketch ще бъде версия 11.2302.20.0.

Microsoft вече проследява уязвимостта като CVE-2023-28303 и я озаглавява „Windows Snipping Tool Information Disclosure Vulnerability“.

Уязвимостта е класифицирана като „Ниска“ сериозност, тъй като „изисква необичайно взаимодействие с потребителя и няколко фактора извън контрола на нападателя“.

Потребителят трябва да направи снимка на екрана, да я запише във файл, да модифицира файла (например да го изреже) и след това да запише модифицирания файл на същото място.

При това положение според нашия опит не е необичайно да направите снимка на екрана, да я запазите, а след това да осъзнаете, че трябва да изрежете нещо и да презапишете оригиналното изображение. Това изображение сега би било засегнато от грешката.

Добрата новина е, че независимо от начина на създаване на изображението, ако не споделяте публично засегнато изображение, рискът от използване на дефекта е малък, освен ако устройството ви не е компрометирано.

За да инсталирате актуализациите за сигурност, отворете Microsoft Store и отидете на Libary > Get Updates (Библиотека > Получаване на актуализации) и най-новата версия на Windows Snipping Tool ще бъде инсталирана автоматично.

 

 

Източник: По материали от Интернет

Подобни публикации

22 май 2025

Руската хакерска група APT28 шпионира междунаро...

Мащабна кибершпионска кампания, провеждана от подкрепяната от руска...
22 май 2025

Русия въвежда задължително приложение за просле...

В началото на май 2025 г. руското правителство обяви ново законодат...
22 май 2025

3 a.m. рансъмуер: нова вълна от таргетирани ат...

През първото тримесечие на 2025 г. специалисти по киберсигурност от...
22 май 2025

Mеждународна операция унищожи инфраструктурата ...

Microsoft, правоприлагащи органи и водещи технологични компании с к...
22 май 2025

ЕС наложи санкции на Stark Industries заради ру...

Европейският съюз официално наложи строги санкции на хостинг достав...
21 май 2025

M&S очаква загуби от над £300 милиона след ...

Британската търговска верига Marks & Spencer (M&S) се изпра...
21 май 2025

19-годишен студент се призна за виновен за атак...

Американският департамент по правосъдието (DOJ) обяви, че 19-годишн...
21 май 2025

Cellcom потвърди: Кибератака стои зад масовия с...

След дни на мълчание, компанията разкри, че нарушението е било резу...
Бъдете социални
Още по темата
20/05/2025

Microsoft пусна извънреден ...

Microsoft публикува извънредно кумулативно обновление (KB5061768)...
20/05/2025

Microsoft представя „Advanc...

На тазгодишната конференция Build 2025 Microsoft...
18/05/2025

Defendnot – нов инструмент ...

Изследователят по киберсигурност es3n1n разкри нов...
Последно добавени
22/05/2025

Руската хакерска група APT2...

Мащабна кибершпионска кампания, провеждана от подкрепяната...
22/05/2025

Русия въвежда задължително ...

В началото на май 2025 г....
22/05/2025

3 a.m. рансъмуер: нова въл...

През първото тримесечие на 2025 г....
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!