Microsoft пусна извънредна актуализация на сигурността за инструмента Snipping за Windows 10 и Windows 11, за да отстрани уязвимостта в поверителността Acropalypse.
Сега проследявана като CVE-2023-28303, уязвимостта Acropalypse се причинява от това, че редакторите на изображения не премахват правилно изрязаните данни на изображението, когато презаписват оригиналния файл.
Например, ако направите снимка на екрана и изрежете чувствителна информация, като например номера на сметки, би трябвало да имате основателни очаквания, че тези изрязани данни ще бъдат премахнати при записването на изображението.
При тази грешка обаче беше установено, че както инструментът за маркиране на Google Pixel, така и инструментът за изрязване на Windows оставят изрязаните данни в оригиналния файл.
Например на изображението по-долу можете да видите как допълнителните данни се запазват след маркера IEND, който обозначава края на PNG файла. Обикновено след маркера IEND не трябва да има данни.
Тези допълнителни данни могат да се използват за частично възстановяване на изрязаното съдържание на изображението, като потенциално разкриват чувствително съдържание, което никога не е трябвало да бъде публично.
Microsoft пуска актуализация на сигурността на OOB
Както съобщиха от компанията, Microsoft тества поправка за грешката в Windows 11 Snipping Tool в канала Windows Insider Canary.
Снощи Microsoft публично пусна актуализации за сигурност както за програмата Windows 10 Snip & Sketch, така и за Windows 11 Snipping Tool, за да отстрани дефекта Acropalypse.
„Пуснахме актуализация на сигурността за тези инструменти чрез CVE-2023-28303. Препоръчваме на клиентите да приложат актуализацията“, заявиха от Microsoft.
След инсталирането на тази актуализация на сигурността Windows 11 Snipping Tool ще бъде версия 10.2008.3001.0, а Windows 10 Snip & Sketch ще бъде версия 11.2302.20.0.
Microsoft вече проследява уязвимостта като CVE-2023-28303 и я озаглавява „Windows Snipping Tool Information Disclosure Vulnerability“.
Уязвимостта е класифицирана като „Ниска“ сериозност, тъй като „изисква необичайно взаимодействие с потребителя и няколко фактора извън контрола на нападателя“.
Потребителят трябва да направи снимка на екрана, да я запише във файл, да модифицира файла (например да го изреже) и след това да запише модифицирания файл на същото място.
При това положение според нашия опит не е необичайно да направите снимка на екрана, да я запазите, а след това да осъзнаете, че трябва да изрежете нещо и да презапишете оригиналното изображение. Това изображение сега би било засегнато от грешката.
Добрата новина е, че независимо от начина на създаване на изображението, ако не споделяте публично засегнато изображение, рискът от използване на дефекта е малък, освен ако устройството ви не е компрометирано.
За да инсталирате актуализациите за сигурност, отворете Microsoft Store и отидете на Libary > Get Updates (Библиотека > Получаване на актуализации) и най-новата версия на Windows Snipping Tool ще бъде инсталирана автоматично.
