Microsoft, Windows Snipping aracı kusuru için OOB güvenlik güncellemelerini zorlar


Windows güvenlik sorunu

Microsoft, Acropalypse gizlilik güvenlik açığını gidermek için Windows 10 ve Windows 11 Snipping aracı için acil bir güvenlik güncelleştirmesi yayınladı.

Artık CVE-2023-28303 olarak izlenen Acropalypse güvenlik açığı, görüntü düzenleyicilerin orijinal dosyanın üzerine yazarken kırpılan görüntü verilerini düzgün şekilde kaldırmamasından kaynaklanıyor.

Örneğin, bir ekran görüntüsü alıp hesap numaraları gibi hassas bilgileri keserseniz, görüntüyü kaydederken bu kırpılan verilerin kaldırılacağına dair makul beklentiniz olmalıdır.

Ancak, bu hata ile hem Google Pixel’in İşaretleme Aracı hem de Windows Snipping Tool’un kırpılan verileri orijinal dosyada bıraktığı bulundu.

Örneğin, aşağıdaki resimde, bir PNG dosyasının sonunu ifade eden IEND dosya işaretçisinden sonra fazladan verilerin nasıl kaydedildiğini görebilirsiniz. Normalde, IEND işaretçisinden sonra hiçbir veri olmamalıdır.

Kırpılan veriler yanlışlıkla IEND işaretinden sonra kaydedildi
Kırpılan veriler yanlışlıkla IEND işaretinden sonra kaydedildi
Kaynak: BleepingComputer

Bu fazladan veri, kırpılmış görüntü içeriğini kısmen kurtarmak için kullanılabilir ve potansiyel olarak hiçbir zaman halka açık olması amaçlanmayan hassas içeriği açığa çıkarır.

Güvenlik araştırmacıları, BleepingComputer’a bu açıktan etkilenen genel görüntü sayısının yüksek olabileceğini, VirusTotal’ın Acropalypse hatasından etkilenen 4.000’den fazla görüntüyü tek başına barındırdığını söyledi.

Bu nedenle, görüntü barındırma hizmetlerinde, Acropalypse’den etkilenen görüntülerin sayısı muhtemelen çok daha fazladır.

Microsoft, OOB güvenlik güncellemesini yayınladı

BleepingComputer’ın bildirdiği gibi Microsoft, Windows Insider Canary kanalında Windows 11 Snipping Tool hatası için bir düzeltmeyi test ediyordu.

Dün gece Microsoft, Acropalypse kusurunu çözmek için hem Windows 10 Snip & Sketch hem de Windows 11 Snipping Tool programı için güvenlik güncellemelerini herkese açık olarak yayınladı.

Microsoft, BleepingComputer’a “Bu araçlar için CVE-2023-28303 aracılığıyla bir güvenlik güncellemesi yayınladık. Müşterilerin güncellemeyi uygulamalarını öneriyoruz” dedi.

Bu güvenlik güncelleştirmesini yükledikten sonra, Windows 11 Snipping Tool 10.2008.3001.0 sürümü ve Windows 10 Snip & Sketch 11.2302.20.0 sürümü olacaktır.

Microsoft, güvenlik açığını şu anda CVE-2023-28303 olarak izliyor ve “Windows Snipping Tool Bilginin Açığa Çıkması Güvenlik Açığı” olarak adlandırıyor.

Güvenlik açığı, “alışılmadık kullanıcı etkileşimi ve saldırganın kontrolü dışında çeşitli faktörler gerektirdiğinden” “Düşük” önem derecesi olarak sınıflandırıldı.

  1. Kullanıcının bir ekran görüntüsü alması, onu bir dosyaya kaydetmesi, dosyayı değiştirmesi (örneğin, kırpması) ve ardından değiştirilen dosyayı aynı konuma kaydetmesi gerekir.
  2. Kullanıcının Ekran Alıntısı Aracında bir görüntü açması, dosyayı değiştirmesi (örneğin, kırpması) ve ardından değiştirilen dosyayı aynı konuma kaydetmesi gerekir.

Bununla birlikte, deneyimlerimize göre, bir ekran görüntüsü alıp kaydetmek ve ardından bir şeyi kırpmanız ve ardından orijinal görüntünün üzerine yazmanız gerektiğini fark etmek alışılmadık bir durum değildir. Bu görüntü artık hatadan etkilenmiş olacaktı.

İyi haber şu ki, etkilenen bir görüntüyü herkese açık olarak paylaşmazsanız, görüntünün nasıl oluşturulduğuna bakılmaksızın, cihazınızın güvenliği ihlal edilmediği sürece kusurdan yararlanma riskiniz çok düşük olacaktır.

Güvenlik güncellemelerini yüklemek için Microsoft Store’u açın ve şuraya gidin: kütüphane > Güncellemeleri Alın, ve Windows Snipping Tool’un en son sürümü otomatik olarak kurulacaktır.



Source link