Microsoft пусна извънредна актуализация на сигурността за инструмента Snipping за Windows 10 и Windows 11, за да отстрани уязвимостта в поверителността Acropalypse.
Сега проследявана като CVE-2023-28303, уязвимостта Acropalypse се причинява от това, че редакторите на изображения не премахват правилно изрязаните данни на изображението, когато презаписват оригиналния файл.
Например, ако направите снимка на екрана и изрежете чувствителна информация, като например номера на сметки, би трябвало да имате основателни очаквания, че тези изрязани данни ще бъдат премахнати при записването на изображението.
При тази грешка обаче беше установено, че както инструментът за маркиране на Google Pixel, така и инструментът за изрязване на Windows оставят изрязаните данни в оригиналния файл.
Например на изображението по-долу можете да видите как допълнителните данни се запазват след маркера IEND, който обозначава края на PNG файла. Обикновено след маркера IEND не трябва да има данни.
Тези допълнителни данни могат да се използват за частично възстановяване на изрязаното съдържание на изображението, като потенциално разкриват чувствително съдържание, което никога не е трябвало да бъде публично.
Както съобщиха от компанията, Microsoft тества поправка за грешката в Windows 11 Snipping Tool в канала Windows Insider Canary.
Снощи Microsoft публично пусна актуализации за сигурност както за програмата Windows 10 Snip & Sketch, така и за Windows 11 Snipping Tool, за да отстрани дефекта Acropalypse.
„Пуснахме актуализация на сигурността за тези инструменти чрез CVE-2023-28303. Препоръчваме на клиентите да приложат актуализацията“, заявиха от Microsoft.
След инсталирането на тази актуализация на сигурността Windows 11 Snipping Tool ще бъде версия 10.2008.3001.0, а Windows 10 Snip & Sketch ще бъде версия 11.2302.20.0.
Microsoft вече проследява уязвимостта като CVE-2023-28303 и я озаглавява „Windows Snipping Tool Information Disclosure Vulnerability“.
Уязвимостта е класифицирана като „Ниска“ сериозност, тъй като „изисква необичайно взаимодействие с потребителя и няколко фактора извън контрола на нападателя“.
Потребителят трябва да направи снимка на екрана, да я запише във файл, да модифицира файла (например да го изреже) и след това да запише модифицирания файл на същото място.
При това положение според нашия опит не е необичайно да направите снимка на екрана, да я запазите, а след това да осъзнаете, че трябва да изрежете нещо и да презапишете оригиналното изображение. Това изображение сега би било засегнато от грешката.
Добрата новина е, че независимо от начина на създаване на изображението, ако не споделяте публично засегнато изображение, рискът от използване на дефекта е малък, освен ако устройството ви не е компрометирано.
За да инсталирате актуализациите за сигурност, отворете Microsoft Store и отидете на Libary > Get Updates (Библиотека > Получаване на актуализации) и най-новата версия на Windows Snipping Tool ще бъде инсталирана автоматично.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.