Търсене
Close this search box.

Microsoft пусна извънредна актуализация на сигурността за инструмента Snipping за Windows 10 и Windows 11, за да отстрани уязвимостта в поверителността Acropalypse.

Сега проследявана като CVE-2023-28303, уязвимостта Acropalypse се причинява от това, че редакторите на изображения не премахват правилно изрязаните данни на изображението, когато презаписват оригиналния файл.

Например, ако направите снимка на екрана и изрежете чувствителна информация, като например номера на сметки, би трябвало да имате основателни очаквания, че тези изрязани данни ще бъдат премахнати при записването на изображението.

При тази грешка обаче беше установено, че както инструментът за маркиране на Google Pixel, така и инструментът за изрязване на Windows оставят изрязаните данни в оригиналния файл.

Например на изображението по-долу можете да видите как допълнителните данни се запазват след маркера IEND, който обозначава края на PNG файла. Обикновено след маркера IEND не трябва да има данни.

Тези допълнителни данни могат да се използват за частично възстановяване на изрязаното съдържание на изображението, като потенциално разкриват чувствително съдържание, което никога не е трябвало да бъде публично.

Microsoft пуска актуализация на сигурността на OOB

Както съобщиха от компанията, Microsoft тества поправка за грешката в Windows 11 Snipping Tool в канала Windows Insider Canary.

Снощи Microsoft публично пусна актуализации за сигурност както за програмата Windows 10 Snip & Sketch, така и за Windows 11 Snipping Tool, за да отстрани дефекта Acropalypse.

„Пуснахме актуализация на сигурността за тези инструменти чрез CVE-2023-28303. Препоръчваме на клиентите да приложат актуализацията“, заявиха от Microsoft.

След инсталирането на тази актуализация на сигурността Windows 11 Snipping Tool ще бъде версия 10.2008.3001.0, а Windows 10 Snip & Sketch ще бъде версия 11.2302.20.0.

Microsoft вече проследява уязвимостта като CVE-2023-28303 и я озаглавява „Windows Snipping Tool Information Disclosure Vulnerability“.

Уязвимостта е класифицирана като „Ниска“ сериозност, тъй като „изисква необичайно взаимодействие с потребителя и няколко фактора извън контрола на нападателя“.

Потребителят трябва да направи снимка на екрана, да я запише във файл, да модифицира файла (например да го изреже) и след това да запише модифицирания файл на същото място.

При това положение според нашия опит не е необичайно да направите снимка на екрана, да я запазите, а след това да осъзнаете, че трябва да изрежете нещо и да презапишете оригиналното изображение. Това изображение сега би било засегнато от грешката.

Добрата новина е, че независимо от начина на създаване на изображението, ако не споделяте публично засегнато изображение, рискът от използване на дефекта е малък, освен ако устройството ви не е компрометирано.

За да инсталирате актуализациите за сигурност, отворете Microsoft Store и отидете на Libary > Get Updates (Библиотека > Получаване на актуализации) и най-новата версия на Windows Snipping Tool ще бъде инсталирана автоматично.

 

 

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
16/09/2024

Уязвимостта на Windows злоу...

Неотдавна поправената уязвимост „Windows MSHTML spoofing...
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
13/09/2024

След CrowdStrike: Microsoft...

Microsoft планира да преработи начина, по...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!